Adobe セキュリティ速報

検索

Adobe Experience Manager に関するセキュリティアップデート公開 | APSB24-05

情報 ID

公開日

優先度

APSB24-05

2024 年 3 月 12 日

3

要約

Adobe Experience Manager (AEM)を対象としたアップデートが公開されました。これらのアップデートにより、重要な脆弱性と中度の脆弱性が解決されます。 これらの脆弱性が悪用されると、任意のコード実行、セキュリティ機能のバイパスが発生する恐れがあります。

対象の製品バージョン

製品名 バージョン プラットフォーム
Adobe Experience Manager(AEM)
 AEM Cloud Service(CS)
 すべて
6.5.19.0 以前のバージョン
 すべて

解決策

アドビは、これらのアップデートを次の優先度評価に分類しており、対象製品をご利用のお客様に最新バージョンへのアップグレードを推奨します。

製品名

バージョン

プラットフォーム

優先度

入手方法
Adobe Experience Manager(AEM)
 AEM Cloud Service リリース 2024.03 
 すべて 3 リリースノート
6.5.20.0 すべて

3

 AEM 6.5 Service Pack リリースノート
注意:

Adobe Experience Manager の Cloud Service をご利用のお客様には、新機能のほか、セキュリティや機能性のバグ修正を含むアップデートが自動的に配信されます。

注意:

Experience Manager のセキュリティに関する留意事項:

AEM as a Cloud Service のセキュリティに関する留意事項
匿名権限の堅牢化パッケージ

注意:

AEM バージョン 6.4、6.3 および 6.2 のサポートについては、アドビカスタマケアにお問い合わせください。

脆弱性に関する詳細

脆弱性のカテゴリー
 脆弱性の影響
 深刻度
 CVSS 基本スコア
 CVSS ベクター
 CVE 番号
クロスサイトスクリプティング(保存済み XSS)(CWE-79
 任意のコード実行
 重要 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-26028
クロスサイトスクリプティング(保存済み XSS)(CWE-79
 任意のコード実行
 重要 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-26030
クロスサイトスクリプティング(保存済み XSS)(CWE-79
 任意のコード実行
 重要 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-26031
クロスサイトスクリプティング(保存済み XSS)(CWE-79
 任意のコード実行
 重要 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-26032
クロスサイトスクリプティング(保存済み XSS)(CWE-79
 任意のコード実行
 重要 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-26033
クロスサイトスクリプティング(保存済み XSS)(CWE-79
 任意のコード実行
 重要 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-26034
クロスサイトスクリプティング(保存済み XSS)(CWE-79
 任意のコード実行
 重要 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-26035
クロスサイトスクリプティング(保存済み XSS)(CWE-79
 任意のコード実行
 重要 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-26038
クロスサイトスクリプティング(保存済み XSS)(CWE-79
 任意のコード実行
 重要 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-26040
クロスサイトスクリプティング(保存済み XSS)(CWE-79
 任意のコード実行
 重要 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-26041
クロスサイトスクリプティング(保存済み XSS)(CWE-79
 任意のコード実行
 重要 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-26042
クロスサイトスクリプティング(保存済み XSS)(CWE-79
 任意のコード実行
 重要 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-26043
クロスサイトスクリプティング(保存済み XSS)(CWE-79
 任意のコード実行
 重要 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-26044
クロスサイトスクリプティング(保存済み XSS)(CWE-79
 任意のコード実行
 重要 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-26045
クロスサイトスクリプティング(保存済み XSS)(CWE-79
 任意のコード実行
 重要 4.5 CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:U/C:H/I:N/A:N CVE-2024-26050
クロスサイトスクリプティング(保存済み XSS)(CWE-79
 任意のコード実行
 重要 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-26052
クロスサイトスクリプティング(保存済み XSS)(CWE-79
 任意のコード実行
 重要 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-26056
クロスサイトスクリプティング(保存済み XSS)(CWE-79
 任意のコード実行
 重要 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-26059
クロスサイトスクリプティング(保存済み XSS)(CWE-79
 任意のコード実行
 重要 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-26061
クロスサイトスクリプティング(保存済み XSS)(CWE-79
 任意のコード実行
 重要 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-26062
情報漏えい(CWE-200 セキュリティ機能のバイパス 重要 5.3 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N CVE-2024-26063
クロスサイトスクリプティング(保存済み XSS)(CWE-79
 任意のコード実行
 重要 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-26064
クロスサイトスクリプティング(保存済み XSS)(CWE-79
 任意のコード実行
 重要 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-26065
クロスサイトスクリプティング(保存済み XSS)(CWE-79
 任意のコード実行
 重要 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-26067
クロスサイトスクリプティング(保存済み XSS)(CWE-79
 任意のコード実行
 重要 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-26069
クロスサイトスクリプティング(保存済み XSS)(CWE-79
 任意のコード実行
 重要 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-26073
クロスサイトスクリプティング(保存済み XSS)(CWE-79
 任意のコード実行
 重要 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-26080
クロスサイトスクリプティング(保存済み XSS)(CWE-79
 任意のコード実行
 重要 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-26094
クロスサイトスクリプティング(保存済み XSS)(CWE-79
 任意のコード実行
 重要 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-26096
クロスサイトスクリプティング(保存済み XSS)(CWE-79
 任意のコード実行
 重要 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-26102
クロスサイトスクリプティング(保存済み XSS)(CWE-79
 任意のコード実行
 重要 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-26103
クロスサイトスクリプティング(保存済み XSS)(CWE-79
 任意のコード実行
 重要 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-26104
クロスサイトスクリプティング(保存済み XSS)(CWE-79
 任意のコード実行
 重要 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-26105
クロスサイトスクリプティング(保存済み XSS)(CWE-79
 任意のコード実行
 重要 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-26106
クロスサイトスクリプティング(保存済み XSS)(CWE-79
 任意のコード実行
 重要 5.3 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-26107
クロスサイトスクリプティング(保存済み XSS)(CWE-79
 任意のコード実行
 重要 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-26118
不正なアクセス制御 (CWE-284) セキュリティ機能のバイパス 重要 5.3 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N CVE-2024-26119
クロスサイトスクリプティング(保存済み XSS)(CWE-79
 任意のコード実行
 重要 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-26120
クロスサイトスクリプティング(保存済み XSS)(CWE-79
 任意のコード実行
 重要 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-26124
クロスサイトスクリプティング(保存済み XSS)(CWE-79
 任意のコード実行
 重要 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-26125
クロスサイトスクリプティング(保存済み XSS)(CWE-79
 任意のコード実行
 重要 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-20760
クロスサイトスクリプティング(保存済み XSS)(CWE-79
 任意のコード実行
 重要 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-20768
クロスサイトスクリプティング(保存済み XSS)(CWE-79
 任意のコード実行
 重要
 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N
 CVE-2024-20799
クロスサイトスクリプティング(保存済み XSS)(CWE-79
 任意のコード実行
 重要
 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N
 CVE-2024-20800
クロスサイトスクリプティング(保存済み XSS)(CWE-79
 任意のコード実行
 重要
 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-26101
クロスサイトスクリプティング(保存済み XSS)(CWE-79
 任意のコード実行
 重要
 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-41877
クロスサイトスクリプティング(保存済み XSS)(CWE-79
 任意のコード実行
 重要
 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-41878
クロスサイトスクリプティング(保存済み XSS)(CWE-79
 任意のコード実行 中度 3.4 CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:N/A:N CVE-2024-26051
注意:

Apache httpd をデフォルト以外の設定でプロキシで使用している場合、CVE-2023-25690 の影響を受ける可能性があります。詳しくはこちらをご覧ください: https://httpd.apache.org/security/vulnerabilities_24.html

謝辞

一連の問題を報告し、ユーザーの保護にご協力いただいた以下の皆様に対し、アドビより厚く御礼を申し上げます。

  • Lorenzo Pirondini 氏 -- CVE-2024-26028、CVE-2024-26032、CVE-2024-26033、CVE-2024-26034、CVE-2024-26035、CVE-2024-26038、CVE-2024-26040、CVE-2024-26041、CVE-2024-26042、CVE-2024-26043、CVE-2024-26044、CVE-2024-26045、CVE-2024-26052、CVE-2024-26059、CVE-2024-26064、CVE-2024-26065、CVE-2024-26073、CVE-2024-26080、CVE-2024-26124、CVE-2024-26125、CVE-2024-20768、CVE-2024-20800
  • Jim Green 氏(green-jam) -- CVE-2024-26030、CVE-2024-26031、CVE-2024-26056、CVE-2024-26061、CVE-2024-26062、CVE-2024-26067、CVE-2024-26069、CVE-2024-26094、CVE-2024-26096、CVE-2024-26101、CVE-2024-26102、CVE-2024-26103、CVE-2024-26104、CVE-2024-26105、CVE-2024-26106、CVE-2024-26107、CVE-2024-26118、CVE-2024-26119、CVE-2024-26120、CVE-2024-20760、CVE-2024-20799、CVE-2024-41877、CVE-2024-41878
  • Akshay Sharma 氏(anonymous_blackzero)-- CVE-2024-26050、CVE-2024-26051

注:アドビは、HackerOne と非公開で招待制のバグバウンティープログラムを実施しています。アドビの外部セキュリティリサーチャーとして働くことに興味がある方は、次のステップをお知らせしますので、このフォームにご記入ください。

更新履歴

2024 年 8 月 21 日 - CVE-2024-41877 および CVE-2024-41878 を追加

2024 年 6 月 20 日 - CVE-2024-26101 を追加

2024 年 6 月 12 日 - CVE-2024-26126 および CVE-2024-26127 を削除

2024 年 4 月 3 日 -  CVE-2024-20800を追加

2024 年 4 月 1 日 -  CVE-2024-20799を追加

2024 年 3月 18 日 - CVE-2024-26048 を削除

詳しくは、https://helpx.adobe.com/jp/security.htmlを参照するか、PSIRT@adobe.com 宛てに電子メールでお問い合わせください。

ヘルプをすばやく簡単に入手

新規ユーザーの場合

クイックリンク

すべてのプランを表示 プランを管理
クイックリンクを表示する
クイックリンクを非表示にする
Adobe MAX 2025

Adobe MAX Japan
クリエイターの祭典

2025 年 2 月 13 日
東京ビッグサイト

詳しく見る

アドビサポートコミュニティ

使い方についての質問やCreator同士の情報交換ができます。気軽に質問してみましょう。

質問する

サポート

個別対応による実践的なヘルプ

利用する
^ ページの先頭へ