检测

Adobe Experience Manager 6.5.0 < 6.5.22 多个漏洞 (APSB24-69)

medium Nessus 插件 ID 212264

语言:

简介

远程主机上安装的 Adobe Experience Manager 实例受到多个漏洞的影响。

描述

远程主机上安装的 Adobe Experience Manager 版本低于 6.5.22。因此,它受到公告 APSB24-69 中提及的多个漏洞影响。

 - Adobe Experience Manager 版本 6.5.21 及更早版本受到不当授权漏洞的影响,该漏洞可导致绕过安全功能。攻击者可利用此漏洞绕过安全措施并获得未经授权的访问权限。若要利用此问题,并不需要用户交互。(CVE-2024-43729、CVE-2024-43731)

 - Adobe Experience Manager 6.5.21 及更低版本受到存储型跨站脚本 (XSS) 漏洞的影响,攻击者可能会滥用这种漏洞将恶意脚本注入易受攻击的表单字段。
 当受害者浏览到含有易受攻击字段的页面时,攻击者可能会在其浏览器中执行恶意 JavaScript。(CVE-2024-43718、CVE-2024-43725、CVE-2024-43726、CVE-2024-43727、CVE-2024-43728、CVE-2024-43730、CVE-2024-43734、CVE-2024-43736、CVE-2024-43737、CVE-2024-43739、CVE-2024-43740、CVE-2024-43742、CVE-2024-43743、CVE-2024-43744、CVE-2024-43746、CVE-2024-43747、CVE-2024-43748、CVE-2024-43749、CVE-2024-43750、CVE-2024-43751、CVE-2024-43752、CVE-2024-52816、CVE-2024-52817、CVE-2024-52818、CVE-2024-52824、CVE-2024-52825、CVE-2024-52826、CVE-2024-52827、CVE-2024-52828、CVE-2024-52829、CVE-2024-52830、CVE-2024-52832、CVE-2024-52834、CVE-2024-52835、CVE-2024-52836、CVE-2024-52841、CVE-2024-52842、CVE-2024-52843、CVE-2024-52845、CVE-2024-52846、CVE-2024-52847、CVE-2024-52848、CVE-2024-52849、CVE-2024-52850、CVE-2024-52851、CVE-2024-52852、CVE-2024-52853、CVE-2024-52854、CVE-2024-52855、CVE-2024-52857、CVE-2024-52858、CVE-2024-52859、CVE-2024-52861、CVE-2024-52862、CVE-2024-52864、CVE-2024-52865、CVE-2024-52991、CVE-2024-52992、CVE-2024-52993、CVE-2024-53960)

 - Adobe Experience Manager 版本 6.5.21 及更低版本受到基于 DOM 的跨站脚本 (XSS) 漏洞的影响,攻击者可利用该漏洞在受害者的浏览器上下文中执行任意代码。将用户可控制源中的数据用于网页的文档对象模型 (DOM) 之前未正确审查时会发生此问题,从而导致恶意脚本执行。
 利用此问题需要用户交互,例如诱骗受害者点击恶意链接或导航至恶意网站。(CVE-2024-43712)

 - Adobe Experience Manager 版本 6.5.21 及更低版本受到基于 DOM 的跨站脚本 (XSS) 漏洞的影响,攻击者可利用该漏洞在受害者的浏览器会话上下文中执行任意代码。通过构建的 URL 或用户输入操控 DOM 元素,攻击者可注入呈现页面时运行的恶意脚本。此类攻击需要用户交互,因为受害者需要访问被操纵的 URL 或包含恶意脚本的页面。
 (CVE-2024-43713、CVE-2024-52822)

 - Adobe Experience Manager 版本 6.5.21 及更低版本受到基于 DOM 的跨站脚本 (XSS) 漏洞的影响,攻击者可利用该漏洞在受害者的浏览器会话上下文中执行任意代码。通过构建的 URL 或用户输入操控 DOM 元素,攻击者可注入呈现页面时运行的恶意脚本。此类攻击需要用户交互,因为受害者可能需要访问恶意链接,或将数据输入到受到影响的网站中。
 (CVE-2024-43714)

请注意,Nessus 尚未测试这些问题,而是只依据应用程序自我报告的版本号进行判断。

解决方案

升级至 Adobe Experience Manager 版本 6.5.22 或更高版本。

另见

http://www.nessus.org/u?ef4e99e8

插件详情

严重性: Medium

ID: 212264

文件名: adobe_experience_manager_apsb24-69.nasl

版本: 1.6

类型: remote

代理: windows, macosx, unix

系列: Misc.

发布时间: 2024/12/10

最近更新时间: 2025/6/12

支持的传感器: Nessus Agent, Nessus

风险信息

VPR

风险因素: Medium

分数: 5.9

CVSS v2

风险因素: Critical

基本分数: 10

时间分数: 7.4

矢量: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

CVSS 分数来源: CVE-2024-43755

CVSS v3

风险因素: Medium

基本分数: 6.5

时间分数: 5.7

矢量: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:N

时间矢量: CVSS:3.0/E:U/RL:O/RC:C

CVSS 分数来源: CVE-2024-43729

漏洞信息

CPE: cpe:/a:adobe:experience_manager

必需的 KB 项: installed_sw/Adobe Experience Manager

易利用性: No known exploits are available

补丁发布日期: 2024/12/10

漏洞发布日期: 2024/12/10

参考资料信息

CVE: CVE-2024-43711, CVE-2024-43712, CVE-2024-43713, CVE-2024-43714, CVE-2024-43715, CVE-2024-43716, CVE-2024-43717, CVE-2024-43718, CVE-2024-43719, CVE-2024-43720, CVE-2024-43721, CVE-2024-43722, CVE-2024-43723, CVE-2024-43724, CVE-2024-43725, CVE-2024-43726, CVE-2024-43727, CVE-2024-43728, CVE-2024-43729, CVE-2024-43730, CVE-2024-43731, CVE-2024-43732, CVE-2024-43733, CVE-2024-43734, CVE-2024-43735, CVE-2024-43736, CVE-2024-43737, CVE-2024-43738, CVE-2024-43739, CVE-2024-43740, CVE-2024-43742, CVE-2024-43743, CVE-2024-43744, CVE-2024-43745, CVE-2024-43746, CVE-2024-43747, CVE-2024-43748, CVE-2024-43749, CVE-2024-43750, CVE-2024-43751, CVE-2024-43752, CVE-2024-43754, CVE-2024-43755, CVE-2024-52816, CVE-2024-52817, CVE-2024-52818, CVE-2024-52822, CVE-2024-52823, CVE-2024-52824, CVE-2024-52825, CVE-2024-52826, CVE-2024-52827, CVE-2024-52828, CVE-2024-52829, CVE-2024-52830, CVE-2024-52831, CVE-2024-52832, CVE-2024-52834, CVE-2024-52835, CVE-2024-52836, CVE-2024-52837, CVE-2024-52838, CVE-2024-52839, CVE-2024-52840, CVE-2024-52841, CVE-2024-52842, CVE-2024-52843, CVE-2024-52844, CVE-2024-52845, CVE-2024-52846, CVE-2024-52847, CVE-2024-52848, CVE-2024-52849, CVE-2024-52850, CVE-2024-52851, CVE-2024-52852, CVE-2024-52853, CVE-2024-52854, CVE-2024-52855, CVE-2024-52857, CVE-2024-52858, CVE-2024-52859, CVE-2024-52860, CVE-2024-52861, CVE-2024-52862, CVE-2024-52864, CVE-2024-52865, CVE-2024-52991, CVE-2024-52992, CVE-2024-52993, CVE-2024-53960

CWE: 20, 284, 285, 79

IAVA: 2024-A-0785-S