Adobe Experience Manager 6.5.0 < 6.5.22 の複数の脆弱性 (APSB24-69)

medium Nessus プラグイン ID 212264

概要

リモートホストにインストールされている Adobe Experience Manager インスタンスは、複数の脆弱性の影響を受けます。

説明

リモートホストにインストールされている Adobe Experience Manager のバージョンは、6.5.22 より前です。したがって、APSB24-69 のアドバイザリに記載されている複数の脆弱性の影響を受けます。

- Adobe Experience Manager バージョン 6.5.21 以前は、セキュリティ機能のバイパスにつながる不適切な承認の影響を受けます。攻撃者がこの脆弱性を利用して、セキュリティ対策をバイパスし、認証されていないアクセスを取得する可能性があります。この問題を悪用するにはユーザーの操作が必要です。(CVE-2024-43729、CVE-2024-43731)

- Adobe Experience Manager バージョン 6.5.21 (およびそれ以前) は、蓄積型クロスサイトスクリプティング (XSS) の脆弱性の影響を受けます。攻撃者がこれを悪用し、脆弱なフォームフィールドに悪意のあるスクリプトを注入する可能性があります。
被害者が脆弱なフィールドを含むページを閲覧するとき、悪意のある JavaScript が被害者のブラウザで実行される可能性があります。(CVE-2024-43718、CVE-2024-43725、CVE-2024-43726、CVE-2024-43727、CVE-2024-43728、CVE-2024-43730、CVE-2024-43734、CVE-2024-43736、CVE-2024-43737、CVE-2024-43739、CVE-2024-43740、CVE-2024-43742、CVE-2024-43743、CVE-2024-43744、CVE-2024-43746、CVE-2024-43747、CVE-2024-43748、CVE-2024-43749、CVE-2024-43750、CVE-2024-43751、CVE-2024-43752、CVE-2024-52816、CVE-2024-52817、CVE-2024-52818、CVE-2024-52824、CVE-2024-52825、CVE-2024-52826、CVE-2024-52827、CVE-2024-52828、CVE-2024-52829、CVE-2024-52830、CVE-2024-52832、CVE-2024-52834、CVE-2024-52835、CVE-2024-52836、CVE-2024-52841、CVE-2024-52842、CVE-2024-52843、CVE-2024-52845、CVE-2024-52846、CVE-2024-52847、CVE-2024-52848、CVE-2024-52849、CVE-2024-52850、CVE-2024-52851、CVE-2024-52852、CVE-2024-52853、CVE-2024-52854、CVE-2024-52855、CVE-2024-52857、CVE-2024-52858、CVE-2024-52859、CVE-2024-52861、CVE-2024-52862、CVE-2024-52864、CVE-2024-52865、CVE-2024-52991、CVE-2024-52992、CVE-2024-52993、CVE-2024-53960)

- Adobe Experience Manager バージョン 6.5.21 およびそれ以前は、DOM ベースのクロスサイトスクリプティング (XSS) の脆弱性の影響を受けます。攻撃者が、被害者のブラウザのコンテキストで任意のコードを実行する可能性があります。この問題は、ユーザーが制御可能なソースのデータが、ウェブページのドキュメントオブジェクトモデル (DOM) で使用される前に不適切にサニタイズされた場合に発生し、悪意のあるスクリプトの実行を引き起こします。
この問題を悪用するには、被害者をだましてリンクをクリックさせたり、悪意のあるウェブサイトに移動させたりするなど、ユーザーの操作が必要です。(CVE-2024-43712)

- Adobe Experience Manager バージョン 6.5.21 およびそれ以前は、DOM ベースのクロスサイトスクリプティング (XSS) の脆弱性の影響を受けます。攻撃者がこれを悪用し、被害者のブラウザセッションのコンテキストで任意のコードを実行する可能性があります。細工された URL またはユーザー入力を通じて DOM 要素を操作することで、攻撃者は、ページのレンダリング時に実行される悪意のあるスクリプトを注入できます。このタイプの攻撃にはユーザーの操作が必要です。被害者は、悪意のあるスクリプトを使用して、操作された URL またはページにアクセスする必要があるためです。
(CVE-2024-43713、CVE-2024-52822)

- Adobe Experience Manager バージョン 6.5.21 およびそれ以前は、DOM ベースのクロスサイトスクリプティング (XSS) の脆弱性の影響を受けます。攻撃者がこれを悪用し、被害者のブラウザセッションのコンテキストで任意のコードを実行する可能性があります。細工された URL またはユーザー入力を通じて DOM 要素を操作することで、攻撃者は、ページのレンダリング時に実行される悪意のあるスクリプトを注入できます。このタイプの攻撃にはユーザーの操作が必要です。被害者は悪意のあるリンクにアクセスするか、脆弱なページにデータを入力する必要があるためです。
(CVE-2024-43714)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

Adobe Experience Manager バージョン 6.5.22 以降にアップグレードしてください。

参考資料

http://www.nessus.org/u?ef4e99e8

プラグインの詳細

深刻度: Medium

ID: 212264

ファイル名: adobe_experience_manager_apsb24-69.nasl

バージョン: 1.6

タイプ: remote

エージェント: windows, macosx, unix

ファミリー: Misc.

公開日: 2024/12/10

更新日: 2025/6/12

サポートされているセンサー: Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 5.9

CVSS v2

リスクファクター: Critical

基本値: 10

現状値: 7.4

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

CVSS スコアのソース: CVE-2024-43755

CVSS v3

リスクファクター: Medium

基本値: 6.5

現状値: 5.7

ベクトル: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:N

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

CVSS スコアのソース: CVE-2024-43729

脆弱性情報

CPE: cpe:/a:adobe:experience_manager

必要な KB アイテム: installed_sw/Adobe Experience Manager

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2024/12/10

脆弱性公開日: 2024/12/10

参照情報

CVE: CVE-2024-43711, CVE-2024-43712, CVE-2024-43713, CVE-2024-43714, CVE-2024-43715, CVE-2024-43716, CVE-2024-43717, CVE-2024-43718, CVE-2024-43719, CVE-2024-43720, CVE-2024-43721, CVE-2024-43722, CVE-2024-43723, CVE-2024-43724, CVE-2024-43725, CVE-2024-43726, CVE-2024-43727, CVE-2024-43728, CVE-2024-43729, CVE-2024-43730, CVE-2024-43731, CVE-2024-43732, CVE-2024-43733, CVE-2024-43734, CVE-2024-43735, CVE-2024-43736, CVE-2024-43737, CVE-2024-43738, CVE-2024-43739, CVE-2024-43740, CVE-2024-43742, CVE-2024-43743, CVE-2024-43744, CVE-2024-43745, CVE-2024-43746, CVE-2024-43747, CVE-2024-43748, CVE-2024-43749, CVE-2024-43750, CVE-2024-43751, CVE-2024-43752, CVE-2024-43754, CVE-2024-43755, CVE-2024-52816, CVE-2024-52817, CVE-2024-52818, CVE-2024-52822, CVE-2024-52823, CVE-2024-52824, CVE-2024-52825, CVE-2024-52826, CVE-2024-52827, CVE-2024-52828, CVE-2024-52829, CVE-2024-52830, CVE-2024-52831, CVE-2024-52832, CVE-2024-52834, CVE-2024-52835, CVE-2024-52836, CVE-2024-52837, CVE-2024-52838, CVE-2024-52839, CVE-2024-52840, CVE-2024-52841, CVE-2024-52842, CVE-2024-52843, CVE-2024-52844, CVE-2024-52845, CVE-2024-52846, CVE-2024-52847, CVE-2024-52848, CVE-2024-52849, CVE-2024-52850, CVE-2024-52851, CVE-2024-52852, CVE-2024-52853, CVE-2024-52854, CVE-2024-52855, CVE-2024-52857, CVE-2024-52858, CVE-2024-52859, CVE-2024-52860, CVE-2024-52861, CVE-2024-52862, CVE-2024-52864, CVE-2024-52865, CVE-2024-52991, CVE-2024-52992, CVE-2024-52993, CVE-2024-53960

CWE: 20, 284, 285, 79

IAVA: 2024-A-0785-S