Идентификатор бюллетеня
Последнее обновление
17 июн. 2026 г.
Обновления безопасности для Adobe Experience Manager | APSB26-56
|
|
Дата публикации |
Приоритет |
|---|---|---|
|
APSB26-56 |
9 июня 2026 г. |
3 |
Сводка
Компания Adobe выпустила обновления для Adobe Experience Manager (AEM). Это обновление устраняет уязвимости с рейтингом важные и умеренные. Эксплуатация этих уязвимостей может привести к выполнению произвольного кода и обходу функций безопасности.
Adobe не имеет информации о свободном характере использования этих проблем в данных обновлениях.
Затрагиваемые версии продуктов
| Продукт | Версия | Платформа |
|---|---|---|
| Adobe Experience Manager (АЕМ) |
AEM Cloud Service (CS) |
Все |
6.5 LTS SP1 и более ранние версии SP24 и более ранние версии |
Все |
Решение
Компания Adobe категоризирует эти обновления при помощи следующих рейтингов приоритета и рекомендует пользователям обновлять установленное программное обеспечение до последних версий:
Продукт |
Версия |
Платформа |
Важность |
Доступность |
|---|---|---|---|---|
| Adobe Experience Manager (AEM) |
AEM Cloud Service (CS) выпуск 2026.05 | Все | 3 | Сведения о выпуске |
| Adobe Experience Manager (AEM) | 6.5 LTS, пакет обновления 2 | Все | 3 | Сведения о выпуске |
| Adobe Experience Manager (AEM) | 6.5 Пакет обновления 25 | Все | 3 | Сведения о выпуске |
Примечание
Пользователи Cloud Service Adobe Experience Manager автоматически получат обновления, включающие новые функции, а также обновления системы безопасности и исправления ошибок в функциональности.
Примечание
Меры предосторожности Experience Manager
Меры предосторожности в отношении AEM as a Cloud Service
Пакет усиления защиты анонимных разрешений
Примечание
Для получения помощи с AEM версий 6.4, 6.3 и 6.2 обратитесь в отдел обслуживания клиентов компании Adobe.
Сведения об уязвимости
| Категория уязвимости |
Влияние уязвимости |
Серьезность |
Базовая оценка CVSS |
Вектор CVSS |
Номер CVE |
| Межсайтовый скриптинг (межсайтовое выполнение сценариев на основе объектной модели документа) (CWE-79) | Выполнение произвольного кода | Важная | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2026-47935 |
| Межсайтовый скриптинг (сохраненный) (CWE-79) | Выполнение произвольного кода | Важная | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2026-47936 |
| Межсайтовый скриптинг (сохраненный) (CWE-79) | Выполнение произвольного кода | Важная | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2026-47939 |
| Межсайтовый скриптинг (сохраненный) (CWE-79) | Выполнение произвольного кода | Важная | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2026-47941 |
| Межсайтовый скриптинг (сохраненный) (CWE-79) | Выполнение произвольного кода | Важная | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2026-47942 |
| Межсайтовый скриптинг (сохраненный) (CWE-79) | Выполнение произвольного кода | Важная | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2026-47943 |
| Межсайтовый скриптинг (сохраненный) (CWE-79) | Выполнение произвольного кода | Важная | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2026-47944 |
| Межсайтовый скриптинг (сохраненный) (CWE-79) | Выполнение произвольного кода | Важная | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2026-47945 |
| Межсайтовый скриптинг (межсайтовое выполнение сценариев на основе объектной модели документа) (CWE-79) | Выполнение произвольного кода | Важная | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2026-47946 |
| Межсайтовый скриптинг (межсайтовое выполнение сценариев на основе объектной модели документа) (CWE-79) | Выполнение произвольного кода | Важная | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2026-47947 |
| Межсайтовый скриптинг (сохраненный) (CWE-79) | Выполнение произвольного кода | Важная | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2026-47948 |
| Межсайтовый скриптинг (сохраненный) (CWE-79) | Выполнение произвольного кода | Важная | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2026-47949 |
| Межсайтовый скриптинг (сохраненный) (CWE-79) | Выполнение произвольного кода | Важная | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2026-47950 |
| Межсайтовый скриптинг (сохраненный) (CWE-79) | Выполнение произвольного кода | Важная | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2026-47951 |
| Межсайтовый скриптинг (сохраненный) (CWE-79) | Выполнение произвольного кода | Важная | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2026-47953 |
| Межсайтовый скриптинг (сохраненный) (CWE-79) | Выполнение произвольного кода | Важная | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2026-47954 |
| Межсайтовый скриптинг (сохраненный) (CWE-79) | Выполнение произвольного кода | Важная | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2026-47956 |
| Межсайтовый скриптинг (сохраненный) (CWE-79) | Выполнение произвольного кода | Важная | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2026-47957 |
| Межсайтовый скриптинг (сохраненный) (CWE-79) | Выполнение произвольного кода | Важная | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2026-47958 |
| Межсайтовый скриптинг (сохраненный) (CWE-79) | Выполнение произвольного кода | Важная | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2026-47962 |
| Межсайтовый скриптинг (сохраненный) (CWE-79) | Выполнение произвольного кода | Важная | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2026-47966 |
| Межсайтовый скриптинг (сохраненный) (CWE-79) | Выполнение произвольного кода | Важная | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2026-47970 |
| Межсайтовый скриптинг (сохраненный) (CWE-79) | Выполнение произвольного кода | Важная | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2026-47972 |
| Межсайтовый скриптинг (сохраненный) (CWE-79) | Выполнение произвольного кода | Важная | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2026-47973 |
| Межсайтовый скриптинг (сохраненный) (CWE-79) | Выполнение произвольного кода | Важная | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2026-47974 |
| Межсайтовый скриптинг (сохраненный) (CWE-79) | Выполнение произвольного кода | Важная | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2026-47975 |
| Межсайтовый скриптинг (сохраненный) (CWE-79) | Выполнение произвольного кода | Важная | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2026-47977 |
| Межсайтовый скриптинг (сохраненный) (CWE-79) | Выполнение произвольного кода | Важная | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2026-47978 |
| Межсайтовый скриптинг (сохраненный) (CWE-79) | Выполнение произвольного кода | Важная | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2026-47980 |
| Межсайтовый скриптинг (сохраненный) (CWE-79) | Выполнение произвольного кода | Важная | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2026-47981 |
| Межсайтовый скриптинг (межсайтовое выполнение сценариев на основе объектной модели документа) (CWE-79) | Выполнение произвольного кода | Важная | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2026-47982 |
| Межсайтовый скриптинг (межсайтовое выполнение сценариев на основе объектной модели документа) (CWE-79) | Выполнение произвольного кода | Важная | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2026-47983 |
| Межсайтовый скриптинг (межсайтовое выполнение сценариев на основе объектной модели документа) (CWE-79) | Выполнение произвольного кода | Важная | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2026-47985 |
| Межсайтовый скриптинг (межсайтовое выполнение сценариев на основе объектной модели документа) (CWE-79) | Выполнение произвольного кода | Важная | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2026-47986 |
| Межсайтовый скриптинг (межсайтовое выполнение сценариев на основе объектной модели документа) (CWE-79) | Выполнение произвольного кода | Важная | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2026-47987 |
| Межсайтовый скриптинг (межсайтовое выполнение сценариев на основе объектной модели документа) (CWE-79) | Выполнение произвольного кода | Важная | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2026-47989 |
| Межсайтовый скриптинг (сохраненный) (CWE-79) | Выполнение произвольного кода | Важная | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2026-47990 |
| Межсайтовый скриптинг (межсайтовое выполнение сценариев на основе объектной модели документа) (CWE-79) | Выполнение произвольного кода | Важная | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2026-47993 |
| Межсайтовый скриптинг (межсайтовое выполнение сценариев на основе объектной модели документа) (CWE-79) | Выполнение произвольного кода | Важная | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2026-34692 |
| Межсайтовый скриптинг (межсайтовое выполнение сценариев на основе объектной модели документа) (CWE-79) | Выполнение произвольного кода | Важная | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2026-48250 |
| Межсайтовый скриптинг (межсайтовое выполнение сценариев на основе объектной модели документа) (CWE-79) | Выполнение произвольного кода | Важная | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2026-48251 |
| Межсайтовый скриптинг (межсайтовое выполнение сценариев на основе объектной модели документа) (CWE-79) | Выполнение произвольного кода | Важная | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2026-48256 |
| Межсайтовый скриптинг (межсайтовое выполнение сценариев на основе объектной модели документа) (CWE-79) | Выполнение произвольного кода | Важная | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2026-48258 |
| Межсайтовый скриптинг (межсайтовое выполнение сценариев на основе объектной модели документа) (CWE-79) | Выполнение произвольного кода | Важная | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2026-48264 |
| Межсайтовый скриптинг (межсайтовое выполнение сценариев на основе объектной модели документа) (CWE-79) | Выполнение произвольного кода | Важная | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2026-48265 |
| Межсайтовый скриптинг (межсайтовое выполнение сценариев на основе объектной модели документа) (CWE-79) | Выполнение произвольного кода | Важная | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2026-48266 |
| Межсайтовый скриптинг (межсайтовое выполнение сценариев на основе объектной модели документа) (CWE-79) | Выполнение произвольного кода | Важная | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2026-48268 |
| Межсайтовый скриптинг (межсайтовое выполнение сценариев на основе объектной модели документа) (CWE-79) | Выполнение произвольного кода | Важная | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2026-48271 |
| Межсайтовый скриптинг (межсайтовое выполнение сценариев на основе объектной модели документа) (CWE-79) | Выполнение произвольного кода | Важная | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2026-48280 |
| Межсайтовый скриптинг (сохраненный) (CWE-79) | Выполнение произвольного кода | Важная | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2026-48297 |
| Межсайтовый скриптинг (сохраненный) (CWE-79) | Выполнение произвольного кода | Важная | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2026-48299 |
| Межсайтовый скриптинг (сохраненный) (CWE-79) | Выполнение произвольного кода | Важная | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2026-48300 |
| Межсайтовый скриптинг (сохраненный) (CWE-79) | Выполнение произвольного кода | Важная | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2026-48301 |
| Межсайтовый скриптинг (сохраненный) (CWE-79) | Выполнение произвольного кода | Важная | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2026-48304 |
| Неправильная проверка ввода (CWE-20) | Обход функции безопасности | Средняя | 4.3 | CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N | CVE-2026-47991 |
| Неправильная проверка ввода (CWE-20) | Обход функции безопасности | Средняя | 3.5 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:N/I:L/A:N | CVE-2026-48288 |
| Неправильная проверка ввода (CWE-20) | Обход функции безопасности | Средняя | 3.5 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:N/I:L/A:N | CVE-2026-48289 |
Примечание
Если клиент использует Apache httpd в прокси-сервере с нестандартной конфигурацией, он может быть подвержен уязвимости CVE-2023-25690, подробнее см. здесь: https://httpd.apache.org/security/vulnerabilities_24.html
Благодарности
Компания Adobe выражает благодарность следующим лицам за сообщение об этих проблемах и за помощь Adobe в защите наших клиентов:
- green-jam: CVE-2026-47936, CVE-2026-47941, CVE-2026-47943, CVE-2026-47944, CVE-2026-47945, CVE-2026-47946, CVE-2026-47947, CVE-2026-47948, CVE-2026-47949, CVE-2026-47950, CVE-2026-47951, CVE-2026-47953, CVE-2026-47954, CVE-2026-47956, CVE-2026-47957, CVE-2026-47958, CVE-2026-47962, CVE-2026-47966, CVE-2026-47970, CVE-2026-47972, CVE-2026-47981, CVE-2026-47982, CVE-2026-47983, CVE-2026-47985, CVE-2026-47986, CVE-2026-47987, CVE-2026-47989, CVE-2026-47993, CVE-2026-34692, CVE-2026-48250, CVE-2026-48251, CVE-2026-48256, CVE-2026-48258, CVE-2026-48264, CVE-2026-48265, CVE-2026-48266, CVE-2026-48268, CVE-2026-48271, CVE-2026-48280, CVE-2026-48297
- anonymous_blackzero: CVE-2026-47939, CVE-2026-47973, CVE-2026-47974, CVE-2026-47975, CVE-2026-47977, CVE-2026-47978, CVE-2026-47980, CVE-2026-48288, CVE-2026-48289, CVE-2026-48299, CVE-2026-48300, CVE-2026-48301, CVE-2026-48304
- lpi: CVE-2026-47935, CVE-2026-47942
- Марко Вентура, Клаудия Бартолини и Массимилиано Бролли из TIM Security Red Team Research - TIM S.p.A: CVE-2026-47990
ПРИМЕЧАНИЕ: Adobe имеет частную программу Bug bounty с HackerOne. Если вы заинтересованы в сотрудничестве с Adobe в качестве внешнего исследователя безопасности, зайдите на наш сайт: https://hackerone.com/adobe
Редакции
18 декабря 2025 г.: дбавлен CVE-2025-64538
10 декабря 2025 г.: удален CVE-2025-64540
24 декабря 2025 г.: Добавлено примечание — «AEM 6.5 и LTS-версии не подвержены следующим CVE: CVE-2025-64537, CVE-2025-64538, CVE-2025-64539».
Для получения дополнительной информации посетите сайт https://helpx.adobe.com/ru/security.html или отправьте сообщение по адресу PSIRT@adobe.com.
