Boletim de segurança da Adobe

Atualizações de segurança disponíveis para o Adobe Experience Manager | APSB21-103

ID do boletim

Data de publicação

Prioridade

APSB21-103

14 de dezembro de 2021 

2

Resumo

Adobe lançou atualizações para o Adobe Experience Manager (AEM). Estas atualizações resolvem vulnerabilidades classificadas como críticas e importantes. A exploração bem-sucedida dessas vulnerabilidades pode resultar na execução arbitrária de código e em falha de recursos de segurança.

Versões do produto afetado

Produto Versão Plataforma

 

Adobe Experience Manager (AEM)

AEM Cloud Service (CS)
Todos
6.5.10.0 e versões anteriores 
Todos

Solução

A Adobe categoriza essas atualizações com as seguintes classificações de prioridade e recomenda que os usuários atualizem suas instalações para as versões mais recentes:

Produto

Versão

Plataforma

Prioridade

Disponibilidade

 

Adobe Experience Manager (AEM) 

AEM Cloud Service (CS)
Todos 2 Notas de versão

6.5.11.0 

Todos

2

Notas de versão do AEM 6.5 Service Pack   
Observação:

Os clientes que executam o Cloud Service da Adobe Experience Manager receberão automaticamente atualizações que incluem novos recursos, bem como correções de erros de segurança e funcionalidade.  

Observação:

Entre em contato com o Atendimento ao cliente da Adobe para obter assistência com as versões 6.4, 6.3 e 6.2 do AEM.

Detalhes da vulnerabilidade

Categoria da vulnerabilidade

Impacto da vulnerabilidade

Severidade

Pontuação base de CVSS 

Número CVE 

Criação d script entre sites (XSS)

(CWE-79)

Execução de código arbitrário

Crítico

8.0

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H

CVE-2021-43761

Restrição incorreta da referência de entidade externa do XML (‘XXE’) (CWE-611)

Execução de código arbitrário

Crítico

9.8

CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

CVE-2021-40722

Validação de entrada inadequada (CWE-20)

Falha de recurso de segurança

Importante

6.5

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N

CVE-2021-43762

Criação d script entre sites (XSS)

(CWE-79)

Execução de código arbitrária

Crítico

8.0

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H

CVE-2021-43764

Criação de script entre sites (XSS armazenado) (CWE-79)

Execução de código arbitrário

Crítico

8.1

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:N



CVE-2021-43765

Criação de script entre sites (XSS armazenado) (CWE-79)

Execução de código arbitrário

Crítico

8.1

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:N

CVE-2021-44176

Criação de script entre sites (XSS armazenado) (CWE-79)

Execução de código arbitrário

Crítico

8.1

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:N

CVE-2021-44177

Criação de script entre sites (XSS Refletido) (CWE-79)

Execução de código arbitrário

Importante

5,4

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:N

CVE-2021-44178

Atualizações das dependências

Dependência
Impacto da vulnerabilidade
Versões afetadas
xmlgraphics
Escalonamento de privilégios

AEM CS  

AEM 6.5.9.0 e anteriores 

ionetty
Escalonamento de privilégios

AEM CS  

AEM 6.5.9.0 e anteriores 

Agradecimentos

A Adobe gostaria de agradecer aos seguintes profissionais por terem relatado esses problemas e trabalhado com a Adobe para ajudar a proteger nossos clientes: 

  • BASF - CVE-2021-44178, CVE-2021-44177, CVE-2021-44176, CVE-2021-43765, CVE-2021-43764



 

Revisões

14 de dezembro de 2021: confirmação atualizada para CVE-2021-43762

16 de dezembro de 2021: correção do nível de prioridade do boletim para 2

29 de dezembro de 2021: Reconhecimento atualizado para CVE-2021-40722


Para mais informações, acesse https://helpx.adobe.com/br/security.html ou envie um email para PSIRT@adobe.com.

Logotipo da Adobe

Fazer logon em sua conta