Bulletin-ID
Senast uppdaterad den
25 sep. 2023
Säkerhetsuppdateringar tillgängliga för Adobe Experience Manager | APSB23-31
|
|
Publiceringsdatum |
Prioritet |
|---|---|---|
|
APSB23-31 |
13 juni 2023 |
3 |
Sammanfattning
Adobe har släppt uppdateringar för Adobe Experience Manager (AEM). Uppdateringarna åtgärdar säkerhetsluckor med klassificeringarna viktiga och måttliga i Adobe Experience Manager, inklusive tredjepartsberoenden. Exploatering av dessa sårbarheter kan leda till exekvering av godtycklig kod, överbelastning och att säkerhetsfunktioner kringgås.
Berörda produktversioner
| Produkt | Version | Plattform |
|---|---|---|
| Adobe Experience Manager (AEM) |
AEM Cloud Service (CS) |
Alla |
| 6.5.16.0 och tidigare versioner |
Alla |
Lösning
Adobe klassar dessa uppdateringar med följande prioritetsklassificeringar och rekommenderar användare att uppdatera till den senaste versionen:
Produkt |
Version |
Plattform |
Prioritet |
Tillgänglighet |
|---|---|---|---|---|
| Adobe Experience Manager (AEM) |
AEM Cloud Service – version 2023.4 |
Alla | 3 | Versionsinformation |
| 6.5.17.0 | Alla |
3 |
AEM 6.5 Service Pack versionsinformation |
Obs!
Kunder som kör på Adobe Experience Managers Cloud Service får automatiskt uppdateringar som innehåller nya funktioner samt felkorrigeringar av säkerhet och funktionalitet.
Obs!
Säkerhetsaspekter av Experience Manager:
Säkerhetsaspekter av AEM as a Cloud Service
Härdningspaket för anonym behörighet
Obs!
Kontakta Adobes kundtjänst om du behöver hjälp med AEM-versionerna 6.4, 6.3 och 6.2.
Sårbarhetsinformation
|
Sårbarhetskategori |
Sårbarhetens inverkan |
Allvarlighet |
CVSS-baspoäng |
CVE-nummer |
|
|---|---|---|---|---|---|
|
Serveröverskridande skriptning (reflekterad XSS) (CWE-79) |
Exekvering av godtycklig kod |
Viktigt |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2023-29304 |
|
URL-omdirigering till webbplats som inte är betrodd (”Öppna omdirigering”) (CWE-601) |
Åsidosättning av säkerhetsfunktion |
Måttlig |
3.5 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:L/I:N/A:N |
CVE-2023-29307 |
|
Serveröverskridande skriptning (reflekterad XSS) (CWE-79) |
Exekvering av godtycklig kod |
Viktig |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2023-29322 |
|
Serveröverskridande skriptning (reflekterad XSS) (CWE-79) |
Exekvering av godtycklig kod |
Viktig |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2023-29302 |
Uppdateringar av beroenden
| CVE | Beroende |
Sårbarhetens inverkan |
Berörda versioner |
| CVE-2023-26513 |
Apache Sling |
Överbelastning |
AEM CS AEM 6.5.16.0 och tidigare |
| CVE-2022-26336 |
Apache POI |
Överbelastning |
AEM CS AEM 6.5.16.0 och tidigare |
Obs!
Om en kund använder Apache httpd i en proxy med en annan konfiguration än standardkonfigurationen kan den påverkas av CVE-2023-25690 – läs mer här: https://httpd.apache.org/security/vulnerabilities_24.html
Tack
Adobe tackar följande personer för att de har rapporterat problemen och för att de samarbetar med oss i säkerhetsfrågor:
- Jim Green (green-jam) – CVE-2023-29304, CVE-2023-29302
- Osama Yousef (osamayousef) – CVE-2023-29307
- Lorenzo Pirondini -- CVE-2023-29322
Obs! Adobe har ett privat program ihop med HackerOne för att hitta fel. Gäller endast för inbjudna. Om du är intresserad av att samarbeta med Adobe med en extern säkerhetsundersökning ska du fylla i det här formuläret för nästa steg.
Revisioner
19 september 2023 – uppdatering av beroenden
11 juli 2023 – uppdateringar av beroenden har reviderats.
15 juni 2023 – forskaren ”lpi” har reviderats till ”Lorenzo Pirondini”.
Mer information finns på https://helpx.adobe.com/se/security.html eller på PSIRT@adobe.com.
