公告 ID
可用于 Adobe Experience Manager 的安全更新 | APSB21-15
|
发布日期 |
优先级 |
---|---|---|
APSB21-15 |
2021 年 5 月 11 日 |
2 |
摘要
受影响的产品版本
产品 | 版本 | 平台 |
---|---|---|
Adobe Experience Manager (AEM) |
AEM Cloud Service (CS) |
全部 |
6.5.7.0 及更早版本 |
全部 |
|
6.4.8.3 及更早版本 |
全部 |
|
6.3.3.8 及更早版本 |
全部 |
解决方案
Adobe 按照以下优先级将更新分类,并建议用户将其安装的软件更新至最新版本:
产品 |
版本 |
平台 |
优先级 |
获取途径 |
---|---|---|---|---|
Adobe Experience Manager (AEM) |
AEM Cloud Service (CS) |
全部 | 2 | 发行说明 |
6.5.8.0 |
全部 |
2 |
AEM 6.5 Service Pack 发行说明 | |
6.4.8.4 |
全部 |
2 |
在 Adobe Experience Manager Cloud Service 上运行的客户将自动接收包含新功能以及安全性和功能错误修复的更新。
AEM Cumulative Fix Pack 6.4.8.4 是一个重要更新,其中包括自 2020 年 3 月 AEM 6.4 Service Pack 8 (6.4.8.0) 正式发布以来对一些内部问题和客户问题的修复。
请联系 Adobe 客户关怀团队,以获取有关 AEM 6.3 和 6.2 版本的帮助。
漏洞详情
漏洞类别 |
漏洞影响 |
严重性 |
CVE 编号 |
受影响的版本 |
---|---|---|---|---|
访问控制不当 |
应用程序拒绝服务 |
重要 |
CVE-2021-21083 |
AEM CS AEM 6.5.7.0 及更早版本 AEM 6.4.8.3 及更早版本 AEM 6.3.3.8 及更早版本 |
跨站点脚本(存储) |
浏览器中的任意 JavaScript 执行 |
关键 |
CVE-2021-21084 |
AEM CS AEM 6.5.7.0 及更早版本 AEM 6.4.8.3 及更早版本 AEM 6.3.3.8 及更早版本 |
依赖项更新
依赖项 |
漏洞影响 |
受影响的版本 |
Commons-io |
访问控制不当 |
AEM CS AEM 6.5.7.0 及更早版本 AEM 6.4.8.3 及更早版本 AEM 6.3.3.8 及更早版本 |
MetadataExtractor |
不受控制的资源使用情况 |
AEM CS AEM 6.5.7.0 及更早版本 AEM 6.4.8.3 及更早版本 AEM 6.3.3.8 及更早版本 |
FasterXML Jackson Databind/Core |
远程代码执行 |
AEM CS AEM 6.5.7.0 及更早版本 AEM 6.4.8.3 及更早版本 AEM 6.3.3.8 及更早版本 |
Eclipse Jetty |
访问控制不当 |
AEM CS AEM 6.5.7.0 及更早版本 AEM 6.4.8.3 及更早版本 AEM 6.3.3.8 及更早版本 |
Lucene Queryparser |
远程代码执行 |
AEM CS AEM 6.5.7.0 及更早版本 AEM 6.4.8.3 及更早版本 AEM 6.3.3.8 及更早版本 |
Apache XML-RPC |
任意代码执行 |
AEM CS AEM 6.5.7.0 及更早版本 AEM 6.4.8.3 及更早版本 AEM 6.3.3.8 及更早版本 |
Zip4j |
任意代码执行 |
AEM CS AEM 6.5.7.0 及更早版本 AEM 6.4.8.3 及更早版本 AEM 6.3.3.8 及更早版本 |
Apache Directory LDAP API |
访问控制不当 | AEM CS AEM 6.5.7.0 及更早版本 AEM 6.4.8.3 及更早版本 AEM 6.3.3.8 及更早版本 |
Apache Sling |
访问控制不当 | AEM CS AEM 6.5.7.0 及更早版本 AEM 6.4.8.3 及更早版本 AEM 6.3.3.8 及更早版本 |
Apache Felix |
任意代码执行 |
AEM CS AEM 6.5.7.0 及更早版本 AEM 6.4.8.3 及更早版本 AEM 6.3.3.8 及更早版本 |
Apache Solr |
读/写访问权限不当 |
AEM CS AEM 6.5.7.0 及更早版本 AEM 6.4.8.3 及更早版本 AEM 6.3.3.8 及更早版本 |
Apache Tomcat |
访问控制不当 |
AEM CS AEM 6.5.7.0 及更早版本 AEM 6.4.8.3 及更早版本 AEM 6.3.3.8 及更早版本 |
jQuery |
任意代码执行 |
AEM CS AEM 6.5.7.0 及更早版本 AEM 6.4.8.3 及更早版本 AEM 6.3.3.8 及更早版本 |
鸣谢
Adobe 衷心感谢来自 netcentric 的 Thomas Hartmann (CVE-2021-21083) 报告这两个问题,并与 Adobe 一起帮助保护我们的客户。