Adobe Experience Manager 6.5.0 < 6.5.2 / 2026.5.0 < 2026.6.0 多個弱點 (APSB26-74)

critical Nessus Plugin ID 327021

概要

遠端主機上安裝的 Adobe Experience Manager 執行個體受到多個弱點影響。

說明

遠端主機上安裝的 Adobe Experience Manager 版本低於 2026.6.0、6.5.2。因此,會受到 APSB26-74 公告中所提及的多個弱點影響。

- Adobe Experience Manager 受到路徑名稱不當限制為受限制目錄 (「路徑遊走」) 弱點的影響,此弱點可能導致任意檔案系統讀取。攻擊者可利用此弱點來存取預期存取範圍之外的敏感性檔案和目錄。
無需進行使用者互動,也可惡意利用此問題。範圍已變更。(CVE-2026-48310)

- Adobe Experience Manager 受到 XML 外部實體參照不當限制 (「XXE」) 弱點的影響,該弱點可能導致在目前使用者的內容中執行任意程式碼。低權限攻擊者可以利用此漏洞讀取敏感文件,從而可能獲得對受害者帳戶或會話的提升存取權或控制權。無需進行使用者互動,也可惡意利用此問題。範圍已變更。(CVE-2026-48359)

- Adobe Experience Manager 受到伺服器端要求偽造 (SSRF) 弱點的影響,該弱點可能導致在目前使用者的內容中執行任意程式碼。低權限攻擊者可以利用此漏洞發出未經授權的伺服器端請求,從而可能獲得對受害者帳戶或會話的提升存取權或控制權。無需進行使用者互動,也可惡意利用此問題。範圍已變更。(CVE-2026-48259)

- Adobe Experience Manager 受到嚴重功能缺少驗證弱點的影響,此弱點可能會導致繞過安全性功能。攻擊者可以利用此漏洞繞過安全措施並獲得未經授權的寫入存取權限。無需進行使用者互動,也可惡意利用此問題。範圍已變更。(CVE-2026-48252)

- Adobe Experience Manager 受到已儲存的跨網站指令碼 (XSS) 弱點的影響,低權限攻擊者可能會濫用該弱點,將惡意指令碼插入易受攻擊的表單欄位。當受害者瀏覽到包含易受攻擊欄位的頁面時,可能會在受害者的瀏覽器中執行惡意 JavaScript。範圍已變更。(CVE-2026-48263、CVE-2026-48355)

請注意,Nessus 並未測試這些問題,而是僅依據應用程式自我報告的版本號碼作出判斷。

解決方案

升級至 Adobe Experience Manager 2026.6.0、6.5.2 或更新版本。

另請參閱

http://www.nessus.org/u?a5710b71

Plugin 詳細資訊

嚴重性: Critical

ID: 327021

檔案名稱: adobe_experience_manager_apsb26-74.nasl

版本: 1.1

類型: Remote

代理程式: windows, macosx, unix

系列: Misc.

已發布: 2026/7/15

已更新: 2026/7/15

支援的感應器: Nessus Agent, Nessus

風險資訊

VPR

風險因素: Medium

分數: 4.8

百分位: 57.83

CVSS v2

風險因素: High

基本分數: 7.8

時間性分數: 5.8

媒介: CVSS2#AV:N/AC:L/Au:N/C:C/I:N/A:N

CVSS 評分資料來源: CVE-2026-48310

CVSS v3

風險因素: Critical

基本分數: 9.6

時間性分數: 8.3

媒介: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:N

時間媒介: CVSS:3.0/E:U/RL:O/RC:C

CVSS 評分資料來源: CVE-2026-48359

弱點資訊

CPE: cpe:/a:adobe:experience_manager

必要的 KB 項目: installed_sw/Adobe Experience Manager

可輕鬆利用: No known exploits are available

修補程式發佈日期: 2026/7/14

弱點發布日期: 2026/7/14

參考資訊

CVE: CVE-2026-48252, CVE-2026-48253, CVE-2026-48254, CVE-2026-48255, CVE-2026-48257, CVE-2026-48259, CVE-2026-48260, CVE-2026-48261, CVE-2026-48262, CVE-2026-48263, CVE-2026-48310, CVE-2026-48355, CVE-2026-48359

CWE: 22, 306, 611, 79, 918