Adobe Experience Manager (AEM) w wersji 6.5.23.0 i wcześniejszych jest podatny na niebezpieczną deserializację niezaufanych danych (CWE-502), która może prowadzić do zdalnego wykonania dowolnego kodu. Podatność jest krytyczna — atakujący nie wymaga żadnej interakcji ze strony użytkownika ani uwierzytelnienia.
▸ Pokaż oryginał (EN)
Adobe Experience Manager (MS) versions 6.5.23.0 and earlier are affected by a Deserialization of Untrusted Data vulnerability that could lead to arbitrary code execution by an attacker. Exploitation of this issue does not require user interaction. Scope is unchanged.
Podatność wynika z nieprawidłowej obsługi deserializacji danych wejściowych dostarczanych przez atakującego. Atakujący może przesłać specjalnie spreparowany, złośliwy obiekt serializowany do podatnego endpointu AEM. W trakcie procesu deserializacji aplikacja przetwarza ten obiekt bez odpowiedniej walidacji, co skutkuje wykonaniem niekontrolowanego kodu po stronie serwera. Atak jest możliwy zdalnie przez sieć, bez konieczności posiadania uprawnień ani angażowania użytkownika.
Skuteczne wykorzystanie podatności pozwala atakującemu na wykonanie dowolnego kodu na serwerze (RCE), co może prowadzić do pełnego przejęcia systemu, kradzieży danych, naruszenia integralności oraz dostępności usługi.
Należy zastosować patche dostępne u producenta zgodnie z referencjami — szczegóły w biuletynie bezpieczeństwa Adobe APSB25-67 dostępnym pod adresem https://helpx.adobe.com/security/products/aem-forms/apsb25-67.html
Adobe Experience Manager (AEM) w wersji 6.5.23.0 oraz wszystkich wcześniejszych wersjach z gałęzi 6.5.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HAdobe Experience Manager
APPAdobe≤ 6.5.23.0
Powiązane podatności
Stored XSS w Adobe Experience Manager Forms JEE – krytyczna podatność
DOM-based XSS w Adobe Experience Manager — możliwe RCE i przejęcie sesji
DOM-based XSS w Adobe Experience Manager umożliwiający RCE
DOM-based XSS w Adobe Experience Manager umożliwiający RCE
AEM Forms Cloud Service offering, as well as version 6.5.10.0 (and below) are affected by an XML External Enti...