Adobe Experience Manager 6.5.0 < 6.5.2 / 2026.5.0 < 2026.6.0 の複数の脆弱性(APSB26-74)

critical Nessus プラグイン ID 327021

概要

リモートホストにインストールされている Adobe Experience Manager インスタンスは、複数の脆弱性の影響を受けます。

説明

リモートホストにインストールされている Adobe Experience Manager のバージョンは、2026.6.0、6.5.2 より前です。したがって、APSB26-74 のアドバイザリに記載されている複数の脆弱性の影響を受けます。

- Adobe Experience Managerは、制限されたディレクトリに対するパス名の不適切な制限(「パストラバーサル」)の脆弱性の影響を受け、任意のファイルシステムの読み取りを引き起こす可能性があります。攻撃者がこの脆弱性を悪用して、機密ファイルやディレクトリに、意図されたアクセス範囲外にアクセスする可能性があります。
この問題を悪用するにはユーザーの操作が必要です。範囲が変更されます。(CVE-2026-48310)

- Adobe Experience Manager は XML 外部エンティティ参照(「XXE」)の不適切な制限の脆弱性の影響を受けます。これにより、現在のユーザーのコンテキストで任意のコードが実行される可能性があります。権限の低い攻撃者がこの脆弱性を悪用して機密ファイルを読み取り、被害者のアカウントまたはセッションに対する昇格したアクセス権またはコントロールを取得する可能性があります。この問題を悪用するにはユーザーの操作が必要です。範囲が変更されます。(CVE-2026-48359)

- Adobe Experience Managerは、サーバーサイドリクエストフォージェリ(SSRF)の脆弱性の影響を受け、現在のユーザーのコンテキストで任意のコードが実行される可能性があります。権限の低い攻撃者がこの脆弱性を利用して、不正なサーバー側リクエストを発行し、被害者のアカウントまたはセッションに対する昇格したアクセス権または制御権を取得する可能性があります。この問題を悪用するにはユーザーの操作が必要です。範囲が変更されます。(CVE-2026-48259)

- Adobe Experience Managerは、重要な関数の認証が欠如する脆弱性の影響を受け、セキュリティ機能のバイパスが発生する可能性があります。攻撃者がこの脆弱性を利用して、セキュリティ対策をバイパスし、権限のない書き込みアクセスを取得する可能性があります。この問題を悪用するにはユーザーの操作が必要です。範囲が変更されます。(CVE-2026-48252)

- Adobe Experience Managerは、蓄積型クロスサイトスクリプティング(XSS)の脆弱性の影響を受け、権限の低い攻撃者がこれを悪用して、悪意のあるスクリプトを脆弱なフォームフィールドに挿入する可能性があります。被害者が脆弱なフィールドを含むページをブラウズするときに、悪意のある JavaScript が被害者のブラウザで実行される可能性があります。範囲が変更されます。(CVE-2026-48263、CVE-2026-48355)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

Adobe Experience Manager バージョン 2026.6.0、6.5.2 以降にアップグレードしてください。

参考資料

http://www.nessus.org/u?a5710b71

プラグインの詳細

深刻度: Critical

ID: 327021

ファイル名: adobe_experience_manager_apsb26-74.nasl

バージョン: 1.1

タイプ: Remote

エージェント: windows, macosx, unix

ファミリー: Misc.

公開日: 2026/7/15

更新日: 2026/7/15

サポートされているセンサー: Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 4.8

パーセンタイル: 57.83

CVSS v2

リスクファクター: High

基本値: 7.8

現状値: 5.8

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:C/I:N/A:N

CVSS スコアのソース: CVE-2026-48310

CVSS v3

リスクファクター: Critical

基本値: 9.6

現状値: 8.3

ベクトル: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:N

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

CVSS スコアのソース: CVE-2026-48359

脆弱性情報

CPE: cpe:/a:adobe:experience_manager

必要な KB アイテム: installed_sw/Adobe Experience Manager

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2026/7/14

脆弱性公開日: 2026/7/14

参照情報

CVE: CVE-2026-48252, CVE-2026-48253, CVE-2026-48254, CVE-2026-48255, CVE-2026-48257, CVE-2026-48259, CVE-2026-48260, CVE-2026-48261, CVE-2026-48262, CVE-2026-48263, CVE-2026-48310, CVE-2026-48355, CVE-2026-48359

CWE: 22, 306, 611, 79, 918