Bulletin-id
Laatst bijgewerkt op
13 feb. 2023
Beveiligingsupdates beschikbaar voor Adobe Experience Manager | APSB21-39
|
|
Publicatiedatum |
Prioriteit |
|---|---|---|
|
APSB21-39 |
08 juni 2021 |
2 |
Samenvatting
Adobe heeft updates uitgebracht voor Adobe Experience Manager (AEM). Deze updates verhelpen belangrijke en gemiddelde kwetsbaarheden. Misbruik van deze kwetsbaarheden kan leiden tot willekeurige JavaScript-uitvoering in de browser.
Van toepassing op de volgende productversies
| Product | Versie | Platform |
|---|---|---|
Adobe Experience Manager (AEM) |
AEM Cloud Service (CS) |
Alles |
| 6.5.8.0 en eerdere versies |
Alles |
Oplossing
Adobe heeft aan deze updates de volgende prioriteit toegekend en raadt gebruikers aan hun installatie bij te werken naar de recentste versies:
Product |
Versie |
Platform |
Prioriteit |
Beschikbaarheid |
|---|---|---|---|---|
Adobe Experience Manager (AEM) |
AEM Cloud Service (CS) |
Alles | 2 | Releaseopmerkingen |
6.5.9.0 |
Alles |
2 |
Release-opmerkingen bij AEM 6.5-servicepakket |
Opmerking:
Klanten die op Adobe Experience Manager's Cloud Service draaien, ontvangen automatisch updates die nieuwe functies bevatten, evenals bugfixes voor beveiliging en functionaliteit.
Opmerking:
Neem contact op met de klantenservice van Adobe voor hulp bij versie 6.3 en 6.2 van AEM.
Details van kwetsbaarheid
|
Categorie van kwetsbaarheid |
Impact van kwetsbaarheid |
Ernst |
CVSS-basisscore |
CVE-nummer |
|
|---|---|---|---|---|---|
|
Scripts die verwijzen naar andere sites (XSS) (CWE-79) |
Willekeurige code-uitvoering |
Belangrijk |
6.3 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:L |
CVE-2021-28625 |
|
Onjuiste autorisatie (CWE-285) |
Application denial-of-service |
Matig |
3.7 |
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:L |
CVE-2021-28626 |
|
Server-Side Request Forgery (SSRF) (CWE-918) |
Omzeiling van beveiligingsfunctie |
Belangrijk |
5,4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:L |
CVE-2021-28627 |
|
Scripts die verwijzen naar andere sites (XSS) (CWE-79) |
Willekeurige code-uitvoering |
Belangrijk |
6.3 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:L |
CVE-2021-28628 |
Updates voor afhankelijkheden
| Afhankelijkheid |
Impact van kwetsbaarheid |
Van toepassing op de volgende versies |
| Apache Xerces2 |
Application Denial-of-Service |
AEM CS AEM 6.5.8.0 en eerdere versies |
| Apache Sling | Foutief toegangsbeheer | AEM CS AEM 6.5.8.0 en eerdere versies |
| Handlebars.js |
Foutief toegangsbeheer | AEM CS AEM 6.5.8.0 en eerdere versies |
| Uber Jar |
Externe code-uitvoering | AEM CS AEM 6.5.8.0 en eerdere versies |
| jQuery |
Foutief toegangsbeheer |
AEM CS AEM 6.5.8.0 en eerdere versies |
| Eclipse Jetty |
Uncontrolled Resource Consumption | AEM CS AEM 6.5.8.0 en eerdere versies |
Dankbetuigingen
Adobe bedankt SignorRossi (CVE-2021-28627) voor het melden van dit probleem en voor de samenwerking met Adobe om onze klanten te helpen beschermen.
Revisies
15 juni 2021: Bijgewerkte CVSS vector voor CVE-2021-28626.
Ga voor meer informatie naar https://helpx.adobe.com/nl/security.html of stuur een e-mail naar PSIRT@adobe.com.
