Boletim de segurança da Adobe

Atualizações de segurança disponíveis para o Adobe Experience Manager | APSB21-39

ID do boletim

Data de publicação

Prioridade

APSB21-39

08 de junho de 2021 

2

Resumo

A Adobe lançou atualizações para o Adobe Experience Manager (AEM). Essas atualizações resolvem vulnerabilidades de classificação importantes e moderadas.  O aproveitamento bem sucedido destas vulnerabilidades poderiam resultar em uma execução arbitrária de JavaScript no navegador.

Versões do produto afetado

Produto Versão Plataforma

 

Adobe Experience Manager (AEM)

AEM Cloud Service (CS)
Todos
6.5.8.0 e versões anteriores
Todos

Solução

A Adobe categoriza essas atualizações com as seguintes classificações de prioridade e recomenda que os usuários atualizem suas instalações para as versões mais recentes:

Produto

Versão

Plataforma

Prioridade

Disponibilidade

 

Adobe Experience Manager (AEM) 

AEM Cloud Service (CS)
Todos 2 Notas de versão

6.5.9.0 

Todos

2

Notas de versão do AEM 6.5 Service Pack   
Observação:

Os clientes que executam o Cloud Service da Adobe Experience Manager receberão automaticamente atualizações que incluem novos recursos, bem como correções de erros de segurança e funcionalidade.  

Observação:

Entre em contato com o Atendimento ao cliente da Adobe para obter assistência com as versões 6.3 e 6.2 do AEM.

Detalhes da vulnerabilidade

Categoria da vulnerabilidade

Impacto da vulnerabilidade

Severidade

Pontuação base de CVSS 

Número CVE 

Criação d script entre sites (XSS)

(CWE-79)

Execução de código arbitrária

Importante

6.3

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:L

CVE-2021-28625

Autorização inadequada (CWE-285)

Negação de serviço de aplicativo

Moderado

3.7

CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:L

CVE-2021-28626

Server-Side Request Forgery (SSRF)

(CWE-918)

Falha de recurso de segurança

Importante

5,4

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:L

CVE-2021-28627

Criação d script entre sites (XSS)

(CWE-79)

Execução de código arbitrária

Importante

6.3

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:L

CVE-2021-28628

Atualizações das dependências

Dependência
Impacto da vulnerabilidade
Versões afetadas
Apache Xerces2
Negação de serviço de aplicativo

AEM CS 

AEM 6.5.8.0 e anteriores 

Apache Sling Controle de acesso impróprio

AEM CS 

AEM 6.5.8.0 e anteriores 

Handlebars.js
Controle de acesso impróprio

AEM CS 

AEM 6.5.8.0 e anteriores 

Uber Jar
Execução de código remota

AEM CS 

AEM 6.5.8.0 e anteriores 

jQuery
Controle de acesso impróprio

AEM CS 

AEM 6.5.8.0 e anteriores 

Eclipse Jetty
Consumo de recurso não controlado

AEM CS 

AEM 6.5.8.0 e anteriores 

Agradecimentos

A Adobe gostaria de agradecer a SignorRossi (CVE-2021-28627) por ter relatado esse problema e trabalhado com a Adobe para ajudar a proteger nossos clientes.  

Revisões

15 de junho de 2021: Vetor atualizado do CVSS para CVE-2021-28626 atualizado.


Para obter mais informações, visite https://helpx.adobe.com/security.html ou envie um email para PSIRT@adobe.com.

 Adobe

Receba ajuda com mais rapidez e facilidade

Novo usuário?