情報 ID
Adobe Experience Manager に関するセキュリティアップデート公開 | APSB22-59
|
公開日 |
優先度 |
---|---|---|
APSB22-59 |
2022 年 12 月 13 日 |
3 |
要約
対象の製品バージョン
製品名 | バージョン | プラットフォーム |
---|---|---|
Adobe Experience Manager(AEM) |
AEM Cloud Service (CS) |
すべて |
6.5.14.0 以前のバージョン |
すべて |
解決策
アドビは、これらのアップデートを次の優先度評価に分類しており、対象製品をご利用のお客様に最新バージョンへのアップグレードを推奨します。
製品名 |
バージョン |
プラットフォーム |
優先度 |
入手方法 |
---|---|---|---|---|
Adobe Experience Manager(AEM) |
AEM Cloud Service リリース 2022.10.0 |
すべて | 3 | リリースノート |
6.5.15.0 |
すべて |
3 |
AEM 6.5 Service Pack リリースノート |
Adobe Experience Manager の Cloud Service をご利用のお客様には、新機能のほか、セキュリティや機能性のバグ修正を含むアップデートが自動的に配信されます。
AEM バージョン 6.4、6.3 および 6.2 のサポートについては、アドビカスタマケアにお問い合わせください。
脆弱性に関する詳細
脆弱性のカテゴリー |
脆弱性の影響 |
深刻度 |
CVSS 基本スコア |
CVE 番号 |
|
---|---|---|---|---|---|
クロスサイトスクリプティング(XSS) (CWE-79) |
任意のコード実行 |
重要 |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2022-42345 |
クロスサイトスクリプティング(XSS) (CWE-79) |
任意のコード実行 |
重要 |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2022-42346 |
クロスサイトスクリプティング(XSS) (CWE-79) |
任意のコード実行 |
重要 |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2022-30679 |
クロスサイトスクリプティング(XSS) (CWE-79) |
任意のコード実行 |
重要 |
5.4 |
CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2022-42348 |
クロスサイトスクリプティング(XSS) (CWE-79) |
任意のコード実行 |
重要 |
5.4 |
CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2022-42349 |
クロスサイトスクリプティング(XSS) (CWE-79) |
任意のコード実行 |
重要 |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2022-42350 |
不正なアクセス制御 (CWE-284) |
セキュリティ機能のバイパス |
中度 |
4.3 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N |
CVE-2022-42351 |
クロスサイトスクリプティング(XSS) (CWE-79) |
任意のコード実行 |
重要 |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2022-42352 |
クロスサイトスクリプティング(XSS) (CWE-79) |
任意のコード実行 |
重要 |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2022-35693 |
クロスサイトスクリプティング(XSS) (CWE-79) |
任意のコード実行 |
重要 |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2022-42354 |
クロスサイトスクリプティング(XSS) (CWE-79) |
任意のコード実行 |
重要 |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:L/I:L/A:N |
CVE-2022-35694 |
クロスサイトスクリプティング(XSS) (CWE-79) |
任意のコード実行 |
重要 |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2022-42356 |
クロスサイトスクリプティング(XSS) (CWE-79) |
任意のコード実行 |
重要 |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2022-42357 |
クロスサイトスクリプティング(XSS) (CWE-79) |
任意のコード実行 |
重要 |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2022-35695 |
クロスサイトスクリプティング(XSS) (CWE-79) |
任意のコード実行 |
重要 |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:L/I:L/A:N |
CVE-2022-35696 |
クロスサイトスクリプティング(XSS) (CWE-79) |
任意のコード実行 |
重要 |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2022-42360 |
クロスサイトスクリプティング(XSS) (CWE-79) |
任意のコード実行 |
重要 |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2022-42362 |
クロスサイトスクリプティング(XSS) (CWE-79) |
任意のコード実行 |
重要 |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2022-42364 |
クロスサイトスクリプティング(XSS) (CWE-79) |
任意のコード実行 |
重要 |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2022-42365 |
クロスサイトスクリプティング(XSS) (CWE-79) |
任意のコード実行 |
重要 |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:L/I:L/A:N |
CVE-2022-42366 |
クロスサイトスクリプティング(XSS) (CWE-79) |
任意のコード実行 |
重要 |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2022-42367 |
クロスサイトスクリプティング(XSS) (CWE-79) |
任意のコード実行 |
重要 |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2022-44462 |
クロスサイトスクリプティング(XSS) (CWE-79) |
任意のコード実行 |
重要 |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2022-44463 |
クロスサイトスクリプティング(XSS) (CWE-79) |
任意のコード実行 |
重要 |
5.4 |
: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N
|
CVE-2022-44465 |
クロスサイトスクリプティング(XSS) (CWE-79) |
任意のコード実行 |
重要 |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2022-44466 |
クロスサイトスクリプティング(XSS) (CWE-79) |
任意のコード実行 |
重要 |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2022-44467 |
クロスサイトスクリプティング(XSS) (CWE-79) |
任意のコード実行 |
重要 |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2022-44468 |
クロスサイトスクリプティング(XSS) (CWE-79) |
任意のコード実行 |
重要 |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2022-44469 |
クロスサイトスクリプティング(XSS) (CWE-79) |
任意のコード実行 |
重要 |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2022-44470 |
クロスサイトスクリプティング(XSS) (CWE-79) |
任意のコード実行 |
重要 |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2022-44471 |
クロスサイトスクリプティング(XSS) (CWE-79) |
任意のコード実行 |
重要 |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2022-44473 |
クロスサイトスクリプティング(XSS) (CWE-79) |
任意のコード実行 |
重要 |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2022-44474 |
信頼できないサイトへの URL リダイレクト(「オープンリダイレクト」)(CWE-601) |
セキュリティ機能のバイパス |
中度 |
3.5 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:N/I:L/A:N |
CVE-2022-44488 |
クロスサイトスクリプティング (Reflected XSS) (CWE-79) |
任意のコード実行 |
重要 |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2022-44510 |
依存関係の更新
依存関係 |
脆弱性の影響 |
対象のバージョン |
xmlgraphics |
権限昇格 | AEM CS AEM 6.5.9.0 以前 |
ionetty |
権限昇格 | AEM CS AEM 6.5.9.0 以前 |
謝辞
一連の問題を報告し、ユーザーの保護にご協力いただいた以下の皆様に対し、アドビより厚く御礼を申し上げます。
- Jim Green 氏(green-jam) --CVE-2022-42345、CVE-2022-30679、CVE-2022-42348、CVE-2022-42349、CVE-2022-42350、CVE-2022-42351、CVE-2022-42352、CVE-2022-35693、CVE-2022-42354、CVE-2022-35694、CVE-2022-42356、CVE-2022-42357、CVE-2022-35695、CVE-2022-35696、CVE-2022-42360、CVE-2022-42362、CVE-2022-42364、CVE-2022-42365、CVE-2022-42366、CVE-2022-42367、CVE-2022-44462、CVE-2022-44463、CVE-2022-44465、CVE-2022-44466、CVE-2022-44467、CVE-2022-44468、CVE-2022-44469、CVE-2022-44470、CVE-2022-44471、CVE-2022-44473、CVE-2022-44474、CVE-2022-44488、CVE-2022-44510
更新履歴
2021 年 12 月 14 日:CVE-2021-43762 の謝辞を更新しました
2021 年 12 月 16 日:情報の優先度を 2 に修正しました
2021 年 12 月 29 日:CVE-2021-40722 に対する謝辞を更新
2022 年 9 月 30 日:CVE-2022-28851 を追加
詳しくは、https://helpx.adobe.com/jp/security.html を参照するか、PSIRT@adobe.com 宛てに電子メールでお問い合わせください。