Adobe-säkerhetsbulletin

Sök

Säkerhetsuppdateringar tillgängliga för Adobe Experience Manager | APSB24-05

Bulletin-ID

Publiceringsdatum

Prioritet

APSB24-05

12 mars 2024

3

Sammanfattning

Adobe har släppt uppdateringar för Adobe Experience Manager (AEM). Uppdateringarna åtgärdar sårbarheter som klassats som viktiga och måttliga. Exploatering av sårbarheter kan leda till exekvering av godtycklig kod och att säkerhetsfunktioner kringgås.

Berörda produktversioner

Produkt Version Plattform
Adobe Experience Manager (AEM) 
 AEM Cloud Service (CS)
 Alla
6.5.19.0 och tidigare versioner 
 Alla

Lösning

Adobe klassar dessa uppdateringar med följande prioritetsklassificeringar och rekommenderar användare att uppdatera till den senaste versionen:

Produkt

Version

Plattform

Prioritet

Tillgänglighet
Adobe Experience Manager (AEM) 
 AEM Cloud Service – version 2024.03 
 Alla 3 Versionsinformation
6.5.20.0 Alla

3

 AEM 6.5 Service Pack versionsinformation 
Obs!

Kunder som kör på Adobe Experience Managers Cloud Service får automatiskt uppdateringar som innehåller nya funktioner samt felkorrigeringar av säkerhet och funktionalitet.  

Obs!

Säkerhetsaspekter av Experience Manager:

Säkerhetsaspekter av AEM as a Cloud Service
Härdningspaket för anonym behörighet

Obs!

Kontakta Adobes kundtjänst om du behöver hjälp med AEM-versionerna 6.4, 6.3 och 6.2.

Sårbarhetsinformation

Sårbarhetskategori
 Sårbarhetens inverkan
 Allvarlighet
 CVSS-baspoäng
 CVSS-vektor
 CVE-nummer
Serveröverskridande skriptning (lagrad XSS) (CWE-79)
 Exekvering av godtycklig kod
 Viktig 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-26028
Serveröverskridande skriptning (lagrad XSS) (CWE-79)
 Exekvering av godtycklig kod
 Viktig 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-26030
Serveröverskridande skriptning (lagrad XSS) (CWE-79)
 Exekvering av godtycklig kod
 Viktig 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-26031
Serveröverskridande skriptning (lagrad XSS) (CWE-79)
 Exekvering av godtycklig kod
 Viktig 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-26032
Serveröverskridande skriptning (lagrad XSS) (CWE-79)
 Exekvering av godtycklig kod
 Viktig 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-26033
Serveröverskridande skriptning (lagrad XSS) (CWE-79)
 Exekvering av godtycklig kod
 Viktig 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-26034
Serveröverskridande skriptning (lagrad XSS) (CWE-79)
 Exekvering av godtycklig kod
 Viktig 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-26035
Serveröverskridande skriptning (lagrad XSS) (CWE-79)
 Exekvering av godtycklig kod
 Viktig 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-26038
Serveröverskridande skriptning (lagrad XSS) (CWE-79)
 Exekvering av godtycklig kod
 Viktig 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-26040
Serveröverskridande skriptning (lagrad XSS) (CWE-79)
 Exekvering av godtycklig kod
 Viktig 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-26041
Serveröverskridande skriptning (lagrad XSS) (CWE-79)
 Exekvering av godtycklig kod
 Viktig 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-26042
Serveröverskridande skriptning (lagrad XSS) (CWE-79)
 Exekvering av godtycklig kod
 Viktig 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-26043
Serveröverskridande skriptning (lagrad XSS) (CWE-79)
 Exekvering av godtycklig kod
 Viktig 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-26044
Serveröverskridande skriptning (lagrad XSS) (CWE-79)
 Exekvering av godtycklig kod
 Viktig 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-26045
Serveröverskridande skriptning (lagrad XSS) (CWE-79)
 Exekvering av godtycklig kod
 Viktigt 4.5 CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:U/C:H/I:N/A:N CVE-2024-26050
Serveröverskridande skriptning (lagrad XSS) (CWE-79)
 Exekvering av godtycklig kod
 Viktig 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-26052
Serveröverskridande skriptning (lagrad XSS) (CWE-79)
 Exekvering av godtycklig kod
 Viktig 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-26056
Serveröverskridande skriptning (lagrad XSS) (CWE-79)
 Exekvering av godtycklig kod
 Viktig 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-26059
Serveröverskridande skriptning (lagrad XSS) (CWE-79)
 Exekvering av godtycklig kod
 Viktig 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-26061
Serveröverskridande skriptning (lagrad XSS) (CWE-79)
 Exekvering av godtycklig kod
 Viktig 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-26062
Informationsexponering (CWE-200) Åsidosättning av säkerhetsfunktion Viktig 5.3 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N CVE-2024-26063
Serveröverskridande skriptning (lagrad XSS) (CWE-79)
 Exekvering av godtycklig kod
 Viktig 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-26064
Serveröverskridande skriptning (lagrad XSS) (CWE-79)
 Exekvering av godtycklig kod
 Viktig 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-26065
Serveröverskridande skriptning (lagrad XSS) (CWE-79)
 Exekvering av godtycklig kod
 Viktig 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-26067
Serveröverskridande skriptning (lagrad XSS) (CWE-79)
 Exekvering av godtycklig kod
 Viktig 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-26069
Serveröverskridande skriptning (lagrad XSS) (CWE-79)
 Exekvering av godtycklig kod
 Viktig 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-26073
Serveröverskridande skriptning (lagrad XSS) (CWE-79)
 Exekvering av godtycklig kod
 Viktig 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-26080
Serveröverskridande skriptning (lagrad XSS) (CWE-79)
 Exekvering av godtycklig kod
 Viktig 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-26094
Serveröverskridande skriptning (lagrad XSS) (CWE-79)
 Exekvering av godtycklig kod
 Viktig 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-26096
Serveröverskridande skriptning (lagrad XSS) (CWE-79)
 Exekvering av godtycklig kod
 Viktig 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-26102
Serveröverskridande skriptning (lagrad XSS) (CWE-79)
 Exekvering av godtycklig kod
 Viktig 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-26103
Serveröverskridande skriptning (lagrad XSS) (CWE-79)
 Exekvering av godtycklig kod
 Viktig 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-26104
Serveröverskridande skriptning (lagrad XSS) (CWE-79)
 Exekvering av godtycklig kod
 Viktig 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-26105
Serveröverskridande skriptning (lagrad XSS) (CWE-79)
 Exekvering av godtycklig kod
 Viktig 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-26106
Serveröverskridande skriptning (lagrad XSS) (CWE-79)
 Exekvering av godtycklig kod
 Viktig 5.3 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-26107
Serveröverskridande skriptning (lagrad XSS) (CWE-79)
 Exekvering av godtycklig kod
 Viktig 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-26118
Felaktig åtkomstkontroll (CWE-284) Åsidosättning av säkerhetsfunktion Viktig 5.3 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N CVE-2024-26119
Serveröverskridande skriptning (lagrad XSS) (CWE-79)
 Exekvering av godtycklig kod
 Viktig 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-26120
Serveröverskridande skriptning (lagrad XSS) (CWE-79)
 Exekvering av godtycklig kod
 Viktig 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-26124
Serveröverskridande skriptning (lagrad XSS) (CWE-79)
 Exekvering av godtycklig kod
 Viktig 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-26125
Serveröverskridande skriptning (lagrad XSS) (CWE-79)
 Exekvering av godtycklig kod
 Viktig 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-20760
Serveröverskridande skriptning (lagrad XSS) (CWE-79)
 Exekvering av godtycklig kod
 Viktig 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-20768
Serveröverskridande skriptning (lagrad XSS) (CWE-79)
 Exekvering av godtycklig kod
 Viktig
 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N
 CVE-2024-20799
Serveröverskridande skriptning (lagrad XSS) (CWE-79)
 Exekvering av godtycklig kod
 Viktig
 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N
 CVE-2024-20800
Serveröverskridande skriptning (lagrad XSS) (CWE-79)
 Exekvering av godtycklig kod
 Viktig
 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-26101
Serveröverskridande skriptning (lagrad XSS) (CWE-79)
 Exekvering av godtycklig kod
 Viktig
 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-41877
Serveröverskridande skriptning (lagrad XSS) (CWE-79)
 Exekvering av godtycklig kod
 Viktig
 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-41878
Serveröverskridande skriptning (lagrad XSS) (CWE-79)
 Exekvering av godtycklig kod Måttlig 3.4 CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:N/A:N CVE-2024-26051
Obs!

Om en kund använder Apache httpd i en proxy med en annan konfiguration än standardkonfigurationen kan den påverkas av CVE-2023-25690 – läs mer här: https://httpd.apache.org/security/vulnerabilities_24.html

Tack

Adobe vill tacka följande för att de har rapporterat dessa problem och för att de samarbetar med Adobe för att hjälpa till att skydda våra kunder: 

  • Lorenzo Pirondini -- CVE-2024-26028, CVE-2024-26032, CVE-2024-26033, CVE-2024-26034, CVE-2024-26035, CVE-2024-26038, CVE-2024-26040, CVE-2024-26041, CVE-2024-26042, CVE-2024-26043, CVE-2024-26044, CVE-2024-26045, CVE-2024-26052, CVE-2024-26059, CVE-2024-26064, CVE-2024-26065, CVE-2024-26073, CVE-2024-26080, CVE-2024-26124, CVE-2024-26125, CVE-2024-20768, CVE-2024-20800
  • Jim Green (green-jam) – CVE-2024-26030, CVE-2024-26031, CVE-2024-26056, CVE-2024-26061, CVE-2024-26062, CVE-2024-26067, CVE-2024-26069, CVE-2024-26094, CVE-2024-26096, CVE-2024-26101, CVE-2024-26102, CVE-2024-26103, CVE-2024-26104, CVE-2024-26105, CVE-2024-26106, CVE-2024-26107, CVE-2024-26118, CVE-2024-26119, CVE-2024-26120, CVE-2024-20760, CVE-2024-20799, CVE-2024-41877, CVE-2024-41878
  • Akshay Sharma (anonymous_blackzero) -- CVE-2024-26050, CVE-2024-26051

Obs! Adobe har ett privat program ihop med HackerOne för att hitta fel. Gäller endast för inbjudna. Om du är intresserad av att samarbeta med Adobe med en extern säkerhetsundersökning ska du fylla i det här formuläret för nästa steg.

Revisioner

21 augusti 2024 – CVE-2024-41877 och CVE-2024-41878 har lagts till

20 juni 2024 – Lagt till CVE-2024-26101

12 juni 2024 – CVE-2024-26126 och CVE-2024-26127 borttagna

3 april 2024 – CVE-2024-20800 lades till

1 april 2024 – CVE-2024-20799 lades till

18 mars 2024 – Borttagen CVE-2024-26048

Mer information finns på https://helpx.adobe.com/se/security.html eller på PSIRT@adobe.com.

Få hjälp snabbare och enklare

Ny användare?

Snabblänkar

Visa alla dina planer Hantera dina planer
Visa snabblänkar
Dölj snabblänkar

Ställ en fråga i användarforumet

Ställ frågor och få svar från experterna.

Fråga nu

Kontakta oss

Få hjälp från andra personer.

Starta nu
^ Överst