ID do boletim
Última atualização em
18 de jan de 2022
Atualizações de segurança disponíveis para o Adobe Experience Manager | APSB21-103
|
|
Data de publicação |
Prioridade |
|---|---|---|
|
APSB21-103 |
14 de dezembro de 2021 |
2 |
Resumo
Adobe lançou atualizações para o Adobe Experience Manager (AEM). Estas atualizações resolvem vulnerabilidades classificadas como críticas e importantes. A exploração bem-sucedida dessas vulnerabilidades pode resultar na execução arbitrária de código e em falha de recursos de segurança.
Versões do produto afetado
| Produto | Versão | Plataforma |
|---|---|---|
Adobe Experience Manager (AEM) |
AEM Cloud Service (CS) |
Todos |
| 6.5.10.0 e versões anteriores |
Todos |
Solução
A Adobe categoriza essas atualizações com as seguintes classificações de prioridade e recomenda que os usuários atualizem suas instalações para as versões mais recentes:
Produto |
Versão |
Plataforma |
Prioridade |
Disponibilidade |
|---|---|---|---|---|
Adobe Experience Manager (AEM) |
AEM Cloud Service (CS) |
Todos | 2 | Notas de versão |
6.5.11.0 |
Todos |
2 |
Notas de versão do AEM 6.5 Service Pack |
Observação:
Os clientes que executam o Cloud Service da Adobe Experience Manager receberão automaticamente atualizações que incluem novos recursos, bem como correções de erros de segurança e funcionalidade.
Observação:
Entre em contato com o Atendimento ao cliente da Adobe para obter assistência com as versões 6.4, 6.3 e 6.2 do AEM.
Detalhes da vulnerabilidade
|
Categoria da vulnerabilidade |
Impacto da vulnerabilidade |
Severidade |
Pontuação base de CVSS |
Número CVE |
|
|---|---|---|---|---|---|
|
Criação d script entre sites (XSS) (CWE-79) |
Execução de código arbitrário |
Crítico |
8.0 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H |
CVE-2021-43761 |
|
Restrição incorreta da referência de entidade externa do XML (‘XXE’) (CWE-611) |
Execução de código arbitrário |
Crítico |
9.8 |
CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
CVE-2021-40722 |
|
Validação de entrada inadequada (CWE-20) |
Falha de recurso de segurança |
Importante |
6.5 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N |
CVE-2021-43762 |
|
Criação d script entre sites (XSS) (CWE-79) |
Execução de código arbitrária |
Crítico |
8.0 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H |
CVE-2021-43764 |
|
Criação de script entre sites (XSS armazenado) (CWE-79) |
Execução de código arbitrário |
Crítico |
8.1 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:N |
|
|
Criação de script entre sites (XSS armazenado) (CWE-79) |
Execução de código arbitrário |
Crítico |
8.1 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:N |
CVE-2021-44176 |
|
Criação de script entre sites (XSS armazenado) (CWE-79) |
Execução de código arbitrário |
Crítico |
8.1 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:N |
CVE-2021-44177 |
|
Criação de script entre sites (XSS Refletido) (CWE-79) |
Execução de código arbitrário |
Importante |
5,4 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:N |
CVE-2021-44178 |
Atualizações das dependências
| Dependência |
Impacto da vulnerabilidade |
Versões afetadas |
| xmlgraphics |
Escalonamento de privilégios | AEM CS AEM 6.5.9.0 e anteriores |
| ionetty |
Escalonamento de privilégios |
AEM CS AEM 6.5.9.0 e anteriores |
Agradecimentos
A Adobe gostaria de agradecer aos seguintes profissionais por terem relatado esses problemas e trabalhado com a Adobe para ajudar a proteger nossos clientes:
BASF - CVE-2021-44178, CVE-2021-44177, CVE-2021-44176, CVE-2021-43765, CVE-2021-43764
- Lorenzo Pirondini (Netcentric, especialista em negócios digitais) - CVE-2021-43762
- Muh. Azinar Ismail e Adi Satriadharma - CVE-2021-40722
Revisões
14 de dezembro de 2021: confirmação atualizada para CVE-2021-43762
16 de dezembro de 2021: correção do nível de prioridade do boletim para 2
29 de dezembro de 2021: Reconhecimento atualizado para CVE-2021-40722
Para mais informações, acesse https://helpx.adobe.com/br/security.html ou envie um email para PSIRT@adobe.com.
