ID bollettino
Ultimo aggiornamento il
10 set 2021
Aggiornamenti di sicurezza disponibili per Adobe Experience Manager | APSB21-15
|
|
Data di pubblicazione |
Priorità |
|---|---|---|
|
APSB21-15 |
11 maggio 2021 |
2 |
Riepilogo
Adobe ha rilasciato aggiornamenti per Adobe Experience Manager (AEM). Questi aggiornamenti risolvono vulnerabilità Importanti e Critiche. Se sfruttate con successo, queste vulnerabilità potrebbero provocare l'esecuzione arbitraria di JavaScript nel browser.
Versioni del prodotto interessate
| Prodotto | Versione | Piattaforma |
|---|---|---|
Adobe Experience Manager (AEM) |
Cloud Service AEM (CS) |
Tutte |
| 6.5.7.0 e versioni precedenti |
Tutte |
|
| 6.4.8.3 e versioni precedenti |
Tutte |
|
| 6.3.3.8 e versioni precedenti |
Tutte |
Soluzione
Adobe classifica questi aggiornamenti in base ai seguenti livelli di priorità e consiglia agli utenti interessati di aggiornare la propria installazione alla versione più recente:
Prodotto |
Versione |
Piattaforma |
Priorità |
Disponibilità |
|---|---|---|---|---|
Adobe Experience Manager (AEM) |
Cloud Service AEM (CS) |
Tutte | 2 | Note sul rilascio |
6.5.8.0 |
Tutte |
2 |
Note sulla versione AEM 6.5 Service Pack | |
6.4.8.4 |
Tutte |
2 |
AEM 6.4 - Note sulla versione del pacchetto di correzioni cumulative |
Nota:
I clienti in esecuzione sul Cloud Service di Adobe Experience Manager riceveranno automaticamente aggiornamenti che includono nuove funzioni, nonché correzioni di bug di sicurezza e funzionalità.
Nota:
AEM Cumulative Fix Pack 6.4.8.4 è un aggiornamento importante che include diverse correzioni interne e per i clienti, poiché la disponibilità generale di AEM 6.4 Service Pack 8 (6.4.8.0) nel marzo 2020.
Nota:
Per ricevere assistenza sulle versioni di AEM precedenti, gli utenti possono contattare l'Assistenza clienti Adobe.
Dettagli della vulnerabilità
|
Categoria della vulnerabilità |
Impatto della vulnerabilità |
Gravità |
Codice CVE |
Versioni interessate |
|---|---|---|---|---|
|
Controllo dell'accesso non autorizzato |
Rifiuto di utilizzo dell'applicazione |
Importante |
CVE-2021-21083 |
AEM CS AEM 6.5.7.0 e versioni precedenti AEM 6.4.8.3 e versioni precedenti AEM 6.3.3.8 e versioni precedenti |
|
Vulnerabilità cross-site scripting (memorizzate) |
Esecuzione arbitraria di JavaScript nel browser |
Critica |
CVE-2021-21084 |
AEM CS AEM 6.5.7.0 e versioni precedenti AEM 6.4.8.3 e versioni precedenti AEM 6.3.3.8 e versioni precedenti |
Aggiornamenti alle dipendenze
| Dipendenza |
Impatto della vulnerabilità |
Versioni interessate |
| Commons-io |
Controllo dell'accesso non autorizzato |
AEM CS AEM 6.5.7.0 e versioni precedenti AEM 6.4.8.3 e versioni precedenti AEM 6.3.3.8 e versioni precedenti |
| MetadataExtractor |
Consumo risorse incontrollato |
AEM CS AEM 6.5.7.0 e versioni precedenti AEM 6.4.8.3 e versioni precedenti AEM 6.3.3.8 e versioni precedenti |
| FasterXML Jackson Databind/Core |
Esecuzione di codice remoto |
AEM CS AEM 6.5.7.0 e versioni precedenti AEM 6.4.8.3 e versioni precedenti AEM 6.3.3.8 e versioni precedenti |
| Eclipse Jetty |
Controllo dell'accesso non autorizzato |
AEM CS AEM 6.5.7.0 e versioni precedenti AEM 6.4.8.3 e versioni precedenti AEM 6.3.3.8 e versioni precedenti |
| Lucene Queryparser |
Esecuzione di codice remoto |
AEM CS AEM 6.5.7.0 e versioni precedenti AEM 6.4.8.3 e versioni precedenti AEM 6.3.3.8 e versioni precedenti |
| Apache XML-RPC |
Esecuzione di codice arbitrario |
AEM CS AEM 6.5.7.0 e versioni precedenti AEM 6.4.8.3 e versioni precedenti AEM 6.3.3.8 e versioni precedenti |
| Zip4j |
Esecuzione di codice arbitrario |
AEM CS AEM 6.5.7.0 e versioni precedenti AEM 6.4.8.3 e versioni precedenti AEM 6.3.3.8 e versioni precedenti |
| Apache Directory LDAP API |
Controllo dell'accesso non autorizzato | AEM CS AEM 6.5.7.0 e versioni precedenti AEM 6.4.8.3 e versioni precedenti AEM 6.3.3.8 e versioni precedenti |
| Apache Sling |
Controllo dell'accesso non autorizzato | AEM CS AEM 6.5.7.0 e versioni precedenti AEM 6.4.8.3 e versioni precedenti AEM 6.3.3.8 e versioni precedenti |
| Apache Felix |
Esecuzione di codice arbitrario |
AEM CS AEM 6.5.7.0 e versioni precedenti AEM 6.4.8.3 e versioni precedenti AEM 6.3.3.8 e versioni precedenti |
| Apache Solr |
Accesso in lettura/scrittura non corretto |
AEM CS AEM 6.5.7.0 e versioni precedenti AEM 6.4.8.3 e versioni precedenti AEM 6.3.3.8 e versioni precedenti |
| Apache Tomcat |
Controllo dell'accesso non autorizzato |
AEM CS AEM 6.5.7.0 e versioni precedenti AEM 6.4.8.3 e versioni precedenti AEM 6.3.3.8 e versioni precedenti |
| jQuery |
Esecuzione di codice arbitrario |
AEM CS AEM 6.5.7.0 e versioni precedenti AEM 6.4.8.3 e versioni precedenti AEM 6.3.3.8 e versioni precedenti |
Ringraziamenti
Adobe desidera ringraziare Thomas Hartmann di netcentric (CVE-2021-21083) per la collaborazione e per aver segnalato entrambi i problemi, contribuendo a proteggere la sicurezza dei nostri clienti.
