Bulletin-ID
Zuletzt aktualisiert am
18. Januar 2022
Sicherheits-Updates für Adobe Experience Manager verfügbar | APSB21-103
|
|
Veröffentlichungsdatum |
Priorität |
|---|---|---|
|
APSB21-103 |
14. Dezember 2021 |
2 |
Zusammenfassung
Adobe hat Sicherheitsupdates für Adobe Experience Manager (AEM) veröffentlicht. Diese Updates schließen Schwachstellen, die als kritisch und wichtig eingestuft wurden. Die erfolgreiche Nutzung dieser Schwachstellen könnte zur Ausführung von beliebigem Code und zur Umgehung von Sicherheitsfunktionen führen.
Betroffene Produktversionen
| Produkt | Version | Plattform |
|---|---|---|
Adobe Experience Manager (AEM) |
AEM Cloud Service (CS) |
Alle |
| 6.5.10.0 und frühere Versionen |
Alle |
Lösung
Adobe empfiehlt allen Anwendern die Installation der neuesten Version und stuft die Priorität dieser Updates wie folgt ein:
Produkt |
Version |
Plattform |
Priorität |
Verfügbarkeit |
|---|---|---|---|---|
Adobe Experience Manager (AEM) |
AEM Cloud Service (CS) |
Alle | 2 | Versionshinweise |
6.5.11.0 |
Alle |
2 |
AEM 6.5 Service Pack – Versionshinweise |
Hinweis:
Kunden, die den Cloud Service von Adobe Experience Manager nutzen, erhalten automatisch Updates mit neuen Funktionen sowie Fehlerbehebungen für Sicherheit und Funktionalität.
Hinweis:
Bitte wenden Sie sich für Hilfe mit den AEM-Versionen 6.4, 6.3 und 6.2 an die Adobe Kundenunterstützung.
Sicherheitslückendetails
|
Sicherheitslückenkategorie |
Sicherheitslückenauswirkung |
Problemstufe |
CVSS-Basispunktzahl |
CVE-Nummer |
|
|---|---|---|---|---|---|
|
Cross-Site-Scripting (XSS) (CWE-79) |
Willkürliche Ausführung von Code |
Kritisch |
8.0 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H |
CVE-2021-43761 |
|
Nicht ordnungsgemäße Eingrenzung externer XML-Entitätsreferenzen ('XXE') (CWE-611) |
Willkürliche Ausführung von Code |
Kritisch |
9.8 |
CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
CVE-2021-40722 |
|
Unangemessene Eingabevalidierung (CWE-20) |
Umgehung der Sicherheitsfunktionen |
Wichtig |
6.5 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N |
CVE-2021-43762 |
|
Cross-Site-Scripting (XSS) (CWE-79) |
Willkürliche Ausführung von Code |
Kritisch |
8.0 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H |
CVE-2021-43764 |
|
Cross-Site-Scripting (beständiges XSS) (CWE-79) |
Willkürliche Ausführung von Code |
Kritisch |
8.1 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:N |
|
|
Cross-Site-Scripting (beständiges XSS) (CWE-79) |
Willkürliche Ausführung von Code |
Kritisch |
8.1 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:N |
CVE-2021-44176 |
|
Cross-Site-Scripting (beständiges XSS) (CWE-79) |
Willkürliche Ausführung von Code |
Kritisch |
8.1 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:N |
CVE-2021-44177 |
|
Cross-Site-Scripting (Reflektiertes XSS) (CWE-79) |
Willkürliche Ausführung von Code |
Wichtig |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:N |
CVE-2021-44178 |
Updates für Abhängigkeiten
| Abhängigkeit |
Sicherheitslückenauswirkung |
Betroffene Versionen |
| xmlgraphics |
Berechtigungsausweitung | AEM CS AEM 6.5.9.0 und früher |
| ionetty |
Berechtigungsausweitung |
AEM CS AEM 6.5.9.0 und früher |
Danksagung
Adobe bedankt sich bei den folgenden Forschern für das Melden dieser Schwachstellen und ihre Zusammenarbeit mit Adobe zum Schutz der Sicherheit unserer Kunden:
BASF - CVE-2021-44178, CVE-2021-44177, CVE-2021-44176, CVE-2021-43765, CVE-2021-43764
- Lorenzo Pirondini (Netcentric, Teil von Cognizant Digital Business) - CVE-2021-43762
- Muh. Azinar Ismail und Adi Satriadharma - CVE-2021-40722
Überarbeitungen
14. Dezember 2021: Aktualisierte Bestätigung für CVE-2021-43762
16. Dezember 2021: Die Prioritätsstufe des Bulletins wurde auf 2 korrigiert
29. Dezember 2021: Danksagung für CVE-2021-40722 hinzugefügt
Weitere Informationen erhalten Sie unter https://helpx.adobe.com/de/security.html oder per E-Mail an PSIRT@adobe.com.
