Adobe Experience Manager 6.5.0 < 6.5.22 多個弱點 (APSB24-69)

medium Nessus Plugin ID 212264

概要

遠端主機上安裝的 Adobe Experience Manager 執行個體受到多個弱點影響。

說明

遠端主機上安裝的 Adobe Experience Manager 版本低於 6.5.22。因此,會受到 APSB24-69 公告中所提及的多個弱點影響。

- Adobe Experience Manager 6.5.21 及更舊版本受到不當授權弱點影響,此弱點可導致安全功能繞過。攻擊者可利用此弱點繞過安全性措施,並取得未經授權的存取權。無需進行使用者互動,也可惡意利用此問題。(CVE-2024-43729、CVE-2024-43731)

- Adobe Experience Manager 6.5.21 及更舊版本均會受到儲存型跨網站指令碼 (XSS) 弱點影響,攻擊者可濫此弱點,將惡意指令碼插入易受攻擊的表單欄位。
受害者瀏覽到含有易受攻擊欄位的頁面時,受害者的瀏覽器中可能執行惡意 JavaScript。(CVE-2024-43718、CVE-2024-43725、CVE-2024-43726、CVE-2024-43727、CVE-2024-43728、CVE-2024-43730、CVE-2024-43734、CVE-2024-43736、CVE-2024-43737、CVE-2024-43739、CVE-2024-43740、CVE-2024-43742、CVE-2024-43743、CVE-2024-43744、CVE-2024-43746、CVE-2024-43747、CVE-2024-43748、CVE-2024-43749、CVE-2024-43750、CVE-2024-43751、CVE-2024-43752、CVE-2024-52816、CVE-2024-52817、CVE-2024-52818、CVE-2024-52824、CVE-2024-52825、CVE-2024-52826、CVE-2024-52827、CVE-2024-52828、CVE-2024-52829、CVE-2024-52830、CVE-2024-52832、CVE-2024-52834、CVE-2024-52835、CVE-2024-52836、CVE-2024-52841、CVE-2024-52842、CVE-2024-52843、CVE-2024-52845、CVE-2024-52846、CVE-2024-52847、CVE-2024-52848、CVE-2024-52849、CVE-2024-52850、CVE-2024-52851、CVE-2024-52852、CVE-2024-52853、CVE-2024-52854、CVE-2024-52855、CVE-2024-52857、CVE-2024-52858、CVE-2024-52859、CVE-2024-52861、CVE-2024-52862、CVE-2024-52864、CVE-2024-52865、CVE-2024-52991、CVE-2024-52992、CVE-2024-52993、CVE-2024-53960)

- Adobe Experience Manager 6.5.21 和更舊版本受到 DOM 型跨網站指令碼 (XSS) 弱點影響,攻擊者能夠利用該弱點在受害者瀏覽器的內容中執行任意程式碼。來自使用者可控制來源的資料未正確清理便用於網頁的文件物件模型 (DOM) 時,便會發生此問題,進而導致執行惡意指令碼。
若要利用此問題,需要使用者互動,例如誘騙受害者按一下連結或是瀏覽惡意網站。(CVE-2024-43712)

- Adobe Experience Manager 6.5.21 和更舊版本受到 DOM 型跨網站指令碼 (XSS) 弱點影響,該弱點可能會遭到攻擊者惡意利用,在受害者瀏覽器工作階段的內容中執行任意程式碼。透過特製的 URL 或使用者輸入操控 DOM 元素,攻擊者可插入在頁面轉譯時執行的惡意指令碼。此類型的攻擊需要使用者互動,因為受害者需要使用惡意指令碼存取受操控的 URL 或頁面。
(CVE-2024-43713、CVE-2024-52822)

- Adobe Experience Manager 6.5.21 和更舊版本受到 DOM 型跨網站指令碼 (XSS) 弱點影響,該弱點可能會遭到攻擊者惡意利用,在受害者瀏覽器工作階段的內容中執行任意程式碼。透過特製的 URL 或使用者輸入操控 DOM 元素,攻擊者可插入在頁面轉譯時執行的惡意指令碼。此攻擊類型需要使用者互動,因為受害者需要造訪惡意連結或在有漏洞的頁面中輸入資料。
(CVE-2024-43714)

請注意,Nessus 並未測試這些問題,而是僅依據應用程式自我報告的版本號碼作出判斷。

解決方案

升級至 Adobe Experience Manager 6.5.22 或更新版本。

另請參閱

http://www.nessus.org/u?ef4e99e8

Plugin 詳細資訊

嚴重性: Medium

ID: 212264

檔案名稱: adobe_experience_manager_apsb24-69.nasl

版本: 1.6

類型: remote

代理程式: windows, macosx, unix

系列: Misc.

已發布: 2024/12/10

已更新: 2025/6/12

支援的感應器: Nessus Agent, Nessus

風險資訊

VPR

風險因素: Medium

分數: 5.9

CVSS v2

風險因素: Critical

基本分數: 10

時間性分數: 7.4

媒介: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

CVSS 評分資料來源: CVE-2024-43755

CVSS v3

風險因素: Medium

基本分數: 6.5

時間性分數: 5.7

媒介: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:N

時間媒介: CVSS:3.0/E:U/RL:O/RC:C

CVSS 評分資料來源: CVE-2024-43729

弱點資訊

CPE: cpe:/a:adobe:experience_manager

必要的 KB 項目: installed_sw/Adobe Experience Manager

可輕鬆利用: No known exploits are available

修補程式發佈日期: 2024/12/10

弱點發布日期: 2024/12/10

參考資訊

CVE: CVE-2024-43711, CVE-2024-43712, CVE-2024-43713, CVE-2024-43714, CVE-2024-43715, CVE-2024-43716, CVE-2024-43717, CVE-2024-43718, CVE-2024-43719, CVE-2024-43720, CVE-2024-43721, CVE-2024-43722, CVE-2024-43723, CVE-2024-43724, CVE-2024-43725, CVE-2024-43726, CVE-2024-43727, CVE-2024-43728, CVE-2024-43729, CVE-2024-43730, CVE-2024-43731, CVE-2024-43732, CVE-2024-43733, CVE-2024-43734, CVE-2024-43735, CVE-2024-43736, CVE-2024-43737, CVE-2024-43738, CVE-2024-43739, CVE-2024-43740, CVE-2024-43742, CVE-2024-43743, CVE-2024-43744, CVE-2024-43745, CVE-2024-43746, CVE-2024-43747, CVE-2024-43748, CVE-2024-43749, CVE-2024-43750, CVE-2024-43751, CVE-2024-43752, CVE-2024-43754, CVE-2024-43755, CVE-2024-52816, CVE-2024-52817, CVE-2024-52818, CVE-2024-52822, CVE-2024-52823, CVE-2024-52824, CVE-2024-52825, CVE-2024-52826, CVE-2024-52827, CVE-2024-52828, CVE-2024-52829, CVE-2024-52830, CVE-2024-52831, CVE-2024-52832, CVE-2024-52834, CVE-2024-52835, CVE-2024-52836, CVE-2024-52837, CVE-2024-52838, CVE-2024-52839, CVE-2024-52840, CVE-2024-52841, CVE-2024-52842, CVE-2024-52843, CVE-2024-52844, CVE-2024-52845, CVE-2024-52846, CVE-2024-52847, CVE-2024-52848, CVE-2024-52849, CVE-2024-52850, CVE-2024-52851, CVE-2024-52852, CVE-2024-52853, CVE-2024-52854, CVE-2024-52855, CVE-2024-52857, CVE-2024-52858, CVE-2024-52859, CVE-2024-52860, CVE-2024-52861, CVE-2024-52862, CVE-2024-52864, CVE-2024-52865, CVE-2024-52991, CVE-2024-52992, CVE-2024-52993, CVE-2024-53960

CWE: 20, 284, 285, 79

IAVA: 2024-A-0785-S