Bülten No
Son güncelleme:
30 Ağu 2024
Adobe Experience Manager için güvenlik güncellemeleri mevcut | APSB24-05
|
|
Yayınlandığı Tarih |
Öncelik |
|---|---|---|
|
APSB24-05 |
12 Mart 2024 |
3 |
Özet
Etkilenen ürün sürümleri
| Ürün | Sürüm | Platform |
|---|---|---|
| Adobe Experience Manager (AEM) |
AEM Cloud Service (CS) |
Tümü |
| 6.5.19.0 ve önceki sürümleri |
Tümü |
Çözüm
Adobe bu güncellemeleri öncelik derecelendirmeleri ile kategorize etmekte ve kullanıcıların programlarını en son sürüme güncellemelerini önermektedir:
Ürün |
Sürüm |
Platform |
Öncelik |
Bulunma Durumu |
|---|---|---|---|---|
| Adobe Experience Manager (AEM) |
AEM Cloud Service Sürüm 2024.03 |
Tümü | 3 | Sürüm Notları |
| 6.5.20.0 | Tümü |
3 |
AEM 6.5 Service Pack Sürüm Notları |
Not:
Adobe Experience Manager'ın Cloud Service'ini kullanan müşteriler otomatik olarak güvenlik ve işlevsellik sorun giderme güncellemelerinin yanı sıra yeni özellik ekleyen güncellemeleri de alacaktır.
Not:
Experience Manager Güvenlik Hususları:
AEM as a Cloud Service Güvenlik Hususları
Anonim İzin Güçlendirme Paketi
Not:
AEM'in 6.4, 6.3 ve 6.2 sürümleri ile ilgili yardım için lütfen Adobe müşteri hizmetleri ile irtibata geçin.
Güvenlik Açığı Detayları
| Güvenlik Açığı Kategorisi |
Güvenlik Açığı Etkisi |
Önem Derecesi |
CVSS baz skoru |
CVSS vektörü |
CVE Numarası |
| Siteler Arası Betik (Depolanan XSS) (CWE-79) |
Rastgele kod yürütme |
Önemli | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26028 |
| Siteler Arası Betik (Depolanan XSS) (CWE-79) |
Rastgele kod yürütme |
Önemli | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26030 |
| Siteler Arası Betik (Depolanan XSS) (CWE-79) |
Rastgele kod yürütme |
Önemli | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26031 |
| Siteler Arası Betik (Depolanan XSS) (CWE-79) |
Rastgele kod yürütme |
Önemli | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26032 |
| Siteler Arası Betik (Depolanan XSS) (CWE-79) |
Rastgele kod yürütme |
Önemli | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26033 |
| Siteler Arası Betik (Depolanan XSS) (CWE-79) |
Rastgele kod yürütme |
Önemli | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26034 |
| Siteler Arası Betik (Depolanan XSS) (CWE-79) |
Rastgele kod yürütme |
Önemli | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26035 |
| Siteler Arası Betik (Depolanan XSS) (CWE-79) |
Rastgele kod yürütme |
Önemli | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26038 |
| Siteler Arası Betik (Depolanan XSS) (CWE-79) |
Rastgele kod yürütme |
Önemli | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26040 |
| Siteler Arası Betik (Depolanan XSS) (CWE-79) |
Rastgele kod yürütme |
Önemli | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26041 |
| Siteler Arası Betik (Depolanan XSS) (CWE-79) |
Rastgele kod yürütme |
Önemli | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26042 |
| Siteler Arası Betik (Depolanan XSS) (CWE-79) |
Rastgele kod yürütme |
Önemli | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26043 |
| Siteler Arası Betik (Depolanan XSS) (CWE-79) |
Rastgele kod yürütme |
Önemli | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26044 |
| Siteler Arası Betik (Depolanan XSS) (CWE-79) |
Rastgele kod yürütme |
Önemli | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26045 |
| Siteler Arası Betik (Depolanan XSS) (CWE-79) |
Rastgele kod yürütme |
Önemli | 4.5 | CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:U/C:H/I:N/A:N | CVE-2024-26050 |
| Siteler Arası Betik (Depolanan XSS) (CWE-79) |
Rastgele kod yürütme |
Önemli | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26052 |
| Siteler Arası Betik (Depolanan XSS) (CWE-79) |
Rastgele kod yürütme |
Önemli | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26056 |
| Siteler Arası Betik (Depolanan XSS) (CWE-79) |
Rastgele kod yürütme |
Önemli | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26059 |
| Siteler Arası Betik (Depolanan XSS) (CWE-79) |
Rastgele kod yürütme |
Önemli | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26061 |
| Siteler Arası Betik (Depolanan XSS) (CWE-79) |
Rastgele kod yürütme |
Önemli | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26062 |
| Bilgi Açığa Çıkması (CWE-200) | Güvenlik özelliği atlatması | Önemli | 5.3 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N | CVE-2024-26063 |
| Siteler Arası Betik (Depolanan XSS) (CWE-79) |
Rastgele kod yürütme |
Önemli | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26064 |
| Siteler Arası Betik (Depolanan XSS) (CWE-79) |
Rastgele kod yürütme |
Önemli | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26065 |
| Siteler Arası Betik (Depolanan XSS) (CWE-79) |
Rastgele kod yürütme |
Önemli | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26067 |
| Siteler Arası Betik (Depolanan XSS) (CWE-79) |
Rastgele kod yürütme |
Önemli | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26069 |
| Siteler Arası Betik (Depolanan XSS) (CWE-79) |
Rastgele kod yürütme |
Önemli | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26073 |
| Siteler Arası Betik (Depolanan XSS) (CWE-79) |
Rastgele kod yürütme |
Önemli | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26080 |
| Siteler Arası Betik (Depolanan XSS) (CWE-79) |
Rastgele kod yürütme |
Önemli | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26094 |
| Siteler Arası Betik (Depolanan XSS) (CWE-79) |
Rastgele kod yürütme |
Önemli | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26096 |
| Siteler Arası Betik (Depolanan XSS) (CWE-79) |
Rastgele kod yürütme |
Önemli | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26102 |
| Siteler Arası Betik (Depolanan XSS) (CWE-79) |
Rastgele kod yürütme |
Önemli | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26103 |
| Siteler Arası Betik (Depolanan XSS) (CWE-79) |
Rastgele kod yürütme |
Önemli | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26104 |
| Siteler Arası Betik (Depolanan XSS) (CWE-79) |
Rastgele kod yürütme |
Önemli | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26105 |
| Siteler Arası Betik (Depolanan XSS) (CWE-79) |
Rastgele kod yürütme |
Önemli | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26106 |
| Siteler Arası Betik (Depolanan XSS) (CWE-79) |
Rastgele kod yürütme |
Önemli | 5.3 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26107 |
| Siteler Arası Betik (Depolanan XSS) (CWE-79) |
Rastgele kod yürütme |
Önemli | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26118 |
| Uygunsuz Erişim Kontrolü (CWE-284) | Güvenlik özelliği atlatması | Önemli | 5.3 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N | CVE-2024-26119 |
| Siteler Arası Betik (Depolanan XSS) (CWE-79) |
Rastgele kod yürütme |
Önemli | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26120 |
| Siteler Arası Betik (Depolanan XSS) (CWE-79) |
Rastgele kod yürütme |
Önemli | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26124 |
| Siteler Arası Betik (Depolanan XSS) (CWE-79) |
Rastgele kod yürütme |
Önemli | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26125 |
| Siteler Arası Betik (Depolanan XSS) (CWE-79) |
Rastgele kod yürütme |
Önemli | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-20760 |
| Siteler Arası Betik (Depolanan XSS) (CWE-79) |
Rastgele kod yürütme |
Önemli | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-20768 |
| Siteler Arası Betik (Depolanan XSS) (CWE-79) |
Rastgele kod yürütme |
Önemli |
5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2024-20799 |
| Siteler Arası Betik (Depolanan XSS) (CWE-79) |
Rastgele kod yürütme |
Önemli |
5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2024-20800 |
| Siteler Arası Betik (Depolanan XSS) (CWE-79) |
Rastgele kod yürütme |
Önemli |
5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26101 |
| Siteler Arası Betik (Depolanan XSS) (CWE-79) |
Rastgele kod yürütme |
Önemli |
5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-41877 |
| Siteler Arası Betik (Depolanan XSS) (CWE-79) |
Rastgele kod yürütme |
Önemli |
5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-41878 |
| Siteler Arası Betik (Depolanan XSS) (CWE-79) |
Rastgele kod yürütme | Orta Dereceli | 3.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:N/A:N | CVE-2024-26051 |
Not:
Bir müşteri, Apache httpd'yi bir proxy'de varsayılan olmayan bir yapılandırmayla kullanıyorsa, aşağıdakilerden etkilenebilir: CVE-2023-25690 - Lütfen buradan daha fazlasını okuyun: https://httpd.apache.org/security/vulnerabilities_24.html
Teşekkür
Adobe, bu sorunları bildirdikleri ve müşterilerimizin korunmasına yardımcı olmak için Adobe ile çalıştıkları için aşağıdaki kişilere teşekkür eder:
- Lorenzo Pirondini -- CVE-2024-26028, CVE-2024-26032, CVE-2024-26033, CVE-2024-26034, CVE-2024-26035, CVE-2024-26038, CVE-2024-26040, CVE-2024-26041, CVE-2024-26042, CVE-2024-26043, CVE-2024-26044, CVE-2024-26045, CVE-2024-26052, CVE-2024-26059, CVE-2024-26064, CVE-2024-26065, CVE-2024-26073, CVE-2024-26080, CVE-2024-26124, CVE-2024-26125, CVE-2024-20768, CVE-2024-20800
- Jim Green (green-jam) -- CVE-2024-26030, CVE-2024-26031, CVE-2024-26056, CVE-2024-26061, CVE-2024-26062, CVE-2024-26067, CVE-2024-26069, CVE-2024-26094, CVE-2024-26096, CVE-2024-26101, CVE-2024-26102, CVE-2024-26103, CVE-2024-26104, CVE-2024-26105, CVE-2024-26106, CVE-2024-26107, CVE-2024-26118, CVE-2024-26119, CVE-2024-26120, CVE-2024-20760, CVE-2024-20799, CVE-2024-41877, CVE-2024-41878
- Akshay Sharma (anonymous_blackzero) -- CVE-2024-26050, CVE-2024-26051
NOT: Adobe'nin HackerOne ile özel, yalnızca davetlilere açık, hata ödül programı vardır. Adobe ile harici bir güvenlik araştırmacısı olarak çalışmakla ilgileniyorsanız lütfen sonraki adımlar için bu formu doldurun.
Değişiklikler
21 Ağustos 2024 - CVE-2024-41877 ve CVE-2024-41878 eklendi
20 Haziran 2024 - CVE-2024-26101 eklendi
12 Haziran 2024 - CVE-2024-26126 ve CVE-2024-26127 silindi
3 Nisan 2024 - CVE-2024-20800 eklendi
1 Nisan 2024 - CVE-2024-20799 eklendi
18 Mart 2024 - CVE-2024-26048 kaldırıldı
Daha fazla bilgi için https://helpx.adobe.com/tr/security.html adresini ziyaret edin veya PSIRT@adobe.com adresine e-posta gönderin.
Adobe MAX
Yaratıcılık Konferansı
14–16 Ekim Miami Beach ve çevrimiçi
Adobe MAX
Yaratıcılık Konferansı
14–16 Ekim Miami Beach ve çevrimiçi