偵測

Adobe Experience Manager 6.5.0.0 < 6.5.15.0 多個弱點 (APSB22-59)

medium Nessus Plugin ID 168696

語系:

概要

遠端主機上安裝的 Adobe Experience Manager 執行個體受到多個弱點影響。

說明

遠端主機上安裝的 Adobe Experience Manager 版本低於 6.5.15.0。因此,會受到 APSB22-59 公告中所提及的多個弱點影響。

 - AEM Forms Cloud Service 產品以及 6.5.10.0 (及更舊版本) 受到一個 XML 外部實體 (XXE) 插入弱點影響,而攻擊者可濫用該弱點來達到 RCE 目的。(CVE-2021-40722)

 - AEM 的 Cloud Service 產品以及 6.5.10.0 版 (及更舊版本) 受到一個分派程式繞過弱點影響,惡意使用者可利用此弱點來規避安全性控制。透過利用此弱點可能洩漏 Web 應用程式的敏感區域。(CVE-2021-43762)

 - Adobe Experience Manager 6.5.13.0 (及更舊版本) 受到一個反映式跨網站指令碼 (XSS) 弱點影響。如果攻擊者能夠說服受害者造訪參照有弱點的頁面,惡意 JavaScript 內容可能會在受害者的瀏覽器內容中執行。
 惡意利用此問題需要 AEM 的低權限存取權。 (CVE-2022-28851, CVE-2022-38438, CVE-2022-38439)

 - 跨網站指令碼弱點 (XSS) (CWE-79),可能導致任意程式碼執行攻擊 (CVE-2022-30679, CVE-2022-35693, CVE-2022-35694, CVE-2022-35695, CVE-2022-35696, CVE-2022-42345, CVE-2022-42346, CVE-2022-42348, CVE-2022-42349, CVE-2022-42350, CVE-2022-42352, CVE-2022-42354, CVE-2022-42356, CVE-2022-42357, CVE-2022-42360, CVE-2022-42362, CVE-2022-42364, CVE-2022-42365, CVE-2022-42366, CVE-2022-42367, CVE-2022-44462, CVE-2022-44463, CVE-2022-44465, CVE-2022-44466, CVE-2022-44467, CVE-2022-44468, CVE-2022-44469, CVE-2022-44470, CVE-2022-44471, CVE-2022-44473, CVE-2022-44474)

 - 可能導致安全性功能繞過的不當存取控制 (CWE-284) (CVE-2022-42351)

 - URL 重新導向至不受信任的網站 ('Open Redirect') (CWE-601) 可能導致繞過安全性功能 (CVE-2022-44488)

請注意,Nessus 並未測試這些問題,而是僅依據應用程式自我報告的版本號碼。

解決方案

升級至 Adobe Experience Manager 6.5.15.0 或更新版本。

另請參閱

http://www.nessus.org/u?9ff15f91

Plugin 詳細資訊

嚴重性: Medium

ID: 168696

檔案名稱: adobe_experience_manager_apsb22-59.nasl

版本: 1.6

類型: remote

系列: Misc.

已發布: 2022/12/13

已更新: 2023/3/22

支援的感應器: Nessus

風險資訊

VPR

風險因素: Low

分數: 3.8

CVSS v2

風險因素: Medium

基本分數: 5.5

時間分數: 4.1

媒介: CVSS2#AV:N/AC:L/Au:S/C:P/I:P/A:N

CVSS 評分資料來源: CVE-2022-44510

CVSS v3

風險因素: Medium

基本分數: 5.4

時間分數: 4.7

媒介: CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

時間媒介: CVSS:3.0/E:U/RL:O/RC:C

弱點資訊

CPE: cpe:/a:adobe:experience_manager

必要的 KB 項目: installed_sw/Adobe Experience Manager

可輕鬆利用: No known exploits are available

修補程式發佈日期: 2022/12/13

弱點發布日期: 2021/12/14

參考資訊

CVE: CVE-2022-30679, CVE-2022-35693, CVE-2022-35694, CVE-2022-35695, CVE-2022-35696, CVE-2022-42345, CVE-2022-42346, CVE-2022-42348, CVE-2022-42349, CVE-2022-42350, CVE-2022-42351, CVE-2022-42352, CVE-2022-42354, CVE-2022-42356, CVE-2022-42357, CVE-2022-42360, CVE-2022-42362, CVE-2022-42364, CVE-2022-42365, CVE-2022-42366, CVE-2022-42367, CVE-2022-44462, CVE-2022-44463, CVE-2022-44465, CVE-2022-44466, CVE-2022-44467, CVE-2022-44468, CVE-2022-44469, CVE-2022-44470, CVE-2022-44471, CVE-2022-44473, CVE-2022-44474, CVE-2022-44488, CVE-2022-44510

CWE: 284, 601, 79

IAVA: 2022-A-0529-S