Adobe-säkerhetsbulletin

Säkerhetsuppdateringar tillgängliga för Adobe Experience Manager | APSB22-59

Bulletin-ID

Publiceringsdatum

Prioritet

APSB22-59

13 december 2022 

3

Sammanfattning

Adobe har släppt uppdateringar för Adobe Experience Manager (AEM). Uppdateringarna åtgärdar sårbarheter som klassats som viktiga och måttliga.  Exploatering av sårbarheter kan leda till exekvering av godtycklig kod och att säkerhetsfunktioner kringgås. 

Berörda produktversioner

Produkt Version Plattform
Adobe Experience Manager (AEM)
AEM Cloud Service (CS)
Alla
6.5.14.0 och tidigare versioner 
Alla

Lösning

Adobe klassar dessa uppdateringar med följande prioritetsklassificeringar och rekommenderar användare att uppdatera till den senaste versionen:

Produkt

Version

Plattform

Prioritet

Tillgänglighet

Adobe Experience Manager (AEM) 
AEM Cloud Service – version 2022.10.0
Alla 3 Versionsinformation
6.5.15.0 
Alla

3

AEM 6.5 Service Pack versionsinformation 
Obs!

Kunder som kör på Adobe Experience Managers Cloud Service får automatiskt uppdateringar som innehåller nya funktioner samt felkorrigeringar av säkerhet och funktionalitet.  

Obs!

Kontakta Adobes kundtjänst om du behöver hjälp med AEM-versionerna 6.4, 6.3 och 6.2.

Sårbarhetsinformation

Sårbarhetskategori

Sårbarhetens inverkan

Allvarlighet

CVSS-baspoäng 

CVE-nummer 

Cross-site Scripting (XSS)

(CWE-79)

Exekvering av godtycklig kod

Viktigt

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-42345

Cross-site Scripting (XSS)

(CWE-79)

Exekvering av godtycklig kod

Viktigt

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-42346

Cross-site Scripting (XSS)

(CWE-79)

Exekvering av godtycklig kod

Viktig

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-30679

Cross-site Scripting (XSS)

(CWE-79)

Exekvering av godtycklig kod

Viktig

5.4

CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-42348

Cross-site Scripting (XSS)

(CWE-79)

Exekvering av godtycklig kod

Viktig 

5.4

CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-42349

Cross-site Scripting (XSS)

(CWE-79)

Exekvering av godtycklig kod

Viktig

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-42350

Felaktig åtkomstkontroll (CWE-284)

Åsidosättning av säkerhetsfunktion

Måttlig

4.3

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N

CVE-2022-42351

Cross-site Scripting (XSS)

(CWE-79)

Exekvering av godtycklig kod

Viktig

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-42352

Cross-site Scripting (XSS)

(CWE-79)

Exekvering av godtycklig kod

Viktig

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-35693

Cross-site Scripting (XSS)

(CWE-79)

Exekvering av godtycklig kod

Viktig

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-42354

Cross-site Scripting (XSS)

(CWE-79)

Exekvering av godtycklig kod

Viktig

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:L/I:L/A:N

CVE-2022-35694

Cross-site Scripting (XSS)

(CWE-79)

Exekvering av godtycklig kod

Viktig

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-42356

Cross-site Scripting (XSS)

(CWE-79)

Exekvering av godtycklig kod

Viktig

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-42357

Cross-site Scripting (XSS)

(CWE-79)

Exekvering av godtycklig kod

Viktig

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-35695

Cross-site Scripting (XSS)

(CWE-79)

Exekvering av godtycklig kod

Viktig

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:L/I:L/A:N

CVE-2022-35696

Cross-site Scripting (XSS)

(CWE-79)

Exekvering av godtycklig kod

Viktig

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-42360

Cross-site Scripting (XSS)

(CWE-79)

Exekvering av godtycklig kod

Viktig

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-42362

Cross-site Scripting (XSS)

(CWE-79)

Exekvering av godtycklig kod

Viktig

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-42364

Cross-site Scripting (XSS)

(CWE-79)

Exekvering av godtycklig kod

Viktig

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-42365

Cross-site Scripting (XSS)

(CWE-79)

Exekvering av godtycklig kod

Viktig

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:L/I:L/A:N

CVE-2022-42366

Cross-site Scripting (XSS)

(CWE-79)

Exekvering av godtycklig kod

Viktig

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-42367

Cross-site Scripting (XSS)

(CWE-79)

Exekvering av godtycklig kod

Viktig

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-44462

Cross-site Scripting (XSS)

(CWE-79)

Exekvering av godtycklig kod

Viktig

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-44463

Cross-site Scripting (XSS)

(CWE-79)

Exekvering av godtycklig kod

Viktig

5.4

:

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

 

CVE-2022-44465

Cross-site Scripting (XSS)

(CWE-79)

Exekvering av godtycklig kod

Viktig

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-44466

Cross-site Scripting (XSS)

(CWE-79)

Exekvering av godtycklig kod

Viktig

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-44467

Cross-site Scripting (XSS)

(CWE-79)

Exekvering av godtycklig kod

Viktig

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-44468

Cross-site Scripting (XSS)

(CWE-79)

Exekvering av godtycklig kod

Viktig

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-44469

Cross-site Scripting (XSS)

(CWE-79)

Exekvering av godtycklig kod

Viktig

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-44470

Cross-site Scripting (XSS)

(CWE-79)

Exekvering av godtycklig kod

Viktig

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-44471

Cross-site Scripting (XSS)

(CWE-79)

Exekvering av godtycklig kod

Viktig

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-44473

Cross-site Scripting (XSS)

(CWE-79)

Exekvering av godtycklig kod

Viktig

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-44474

URL-omdirigering till webbplats som inte är betrodd (”Öppna omdirigering”) (CWE-601)

Åsidosättning av säkerhetsfunktion

Måttlig

3.5

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:N/I:L/A:N

CVE-2022-44488

Serveröverskridande skriptning (reflekterad XSS) (CWE-79)

Exekvering av godtycklig kod

Viktig

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-44510

Uppdateringar av beroenden

Beroende
Sårbarhetens inverkan
Berörda versioner
xml-grafik
Eskalering av behörighet

AEM CS  

AEM 6.5.9.0 och tidigare

ionetty
Eskalering av behörighet

AEM CS  

AEM 6.5.9.0 och tidigare

Tack

Adobe tackar följande personer för att de har rapporterat problemen och för att de samarbetar med oss i säkerhetsfrågor: 

 

  • Jim Green (green-jam) --CVE-2022-42345; CVE-2022-30679; CVE-2022-42348; CVE-2022-42349; CVE-2022-42350; CVE-2022-42351; CVE-2022-42352; CVE-2022-35693; CVE-2022-42354; CVE-2022-35694; CVE-2022-42356; CVE-2022-42357; CVE-2022-35695; CVE-2022-35696; CVE-2022-42360; CVE-2022-42362; CVE-2022-42364; CVE-2022-42365; CVE-2022-42366; CVE-2022-42367; CVE-2022-44462; CVE-2022-44463; CVE-2022-44465; CVE-2022-44466; CVE-2022-44467; CVE-2022-44468; CVE-2022-44469; CVE-2022-44470; CVE-2022-44471; CVE-2022-44473; CVE-2022-44474; CVE-2022-44488, CVE-2022-44510

 

Revisioner

20 december 2022 – CVE-2022-44510 lades till

14 december 2021: Uppdaterat bekräftelsen för CVE-2021-43762

16 december 2021: Korrigerat prioritetsnivå för bulletinen till 2

29 december 2021: Uppdaterade bekräftelse för CVE-2021-40722

30 september 2022: CVE-2022-28851 lades till


Mer information finns på https://helpx.adobe.com/se/security.html eller på PSIRT@adobe.com.

 Adobe

Få hjälp snabbare och enklare

Ny användare?