Adobe 安全公告

可用于 Adobe Experience Manager 的安全更新 | APSB21-15

公告 ID

发布日期

优先级

APSB21-15

2021 年 5 月 11 日 

2

摘要

Adobe 发布了适用于 Adobe Experience Manager  (AEM) 的更新。这些更新解决了一些等级为关键重要的漏洞。如果成功利用这些漏洞,可能会导致在浏览器中执行任意 JavaScript。

受影响的产品版本

产品 版本 平台

 

Adobe Experience Manager (AEM)

AEM Cloud Service (CS)
全部
6.5.7.0 及更早版本
全部
6.4.8.3 及更早版本 
全部 
6.3.3.8 及更早版本
全部 

解决方案

Adobe 按照以下优先级将更新分类,并建议用户将其安装的软件更新至最新版本:

产品

版本

平台

优先级

获取途径

 

Adobe Experience Manager (AEM) 

AEM Cloud Service (CS)
全部 2 发行说明

6.5.8.0

全部

2

AEM 6.5 Service Pack 发行说明

6.4.8.4

全部

2

AEM 6.4 Cumulative Fix Pack 发行说明

注意:

在 Adobe Experience Manager Cloud Service 上运行的客户将自动接收包含新功能以及安全性和功能错误修复的更新。 

注意:

AEM Cumulative Fix Pack 6.4.8.4 是一个重要更新,其中包括自 2020 年 3 月 AEM 6.4 Service Pack 8 (6.4.8.0) 正式发布以来对一些内部问题和客户问题的修复。

注意:

请联系 Adobe 客户关怀团队,以获取有关 AEM 6.3 和 6.2 版本的帮助。

漏洞详情

漏洞类别

漏洞影响

严重性

CVE 编号 

受影响的版本

访问控制不当

应用程序拒绝服务

重要

CVE-2021-21083

AEM CS 

AEM 6.5.7.0 及更早版本 

AEM 6.4.8.3 及更早版本

AEM 6.3.3.8 及更早版本

跨站点脚本(存储)

浏览器中的任意 JavaScript 执行

关键

CVE-2021-21084

AEM CS 

AEM 6.5.7.0 及更早版本 

AEM 6.4.8.3 及更早版本

AEM 6.3.3.8 及更早版本 

依赖项更新

依赖项
漏洞影响
受影响的版本
Commons-io
访问控制不当

AEM CS 

AEM 6.5.7.0 及更早版本 

AEM 6.4.8.3 及更早版本

AEM 6.3.3.8 及更早版本 

MetadataExtractor
不受控制的资源使用情况

AEM CS 

AEM 6.5.7.0 及更早版本 

AEM 6.4.8.3 及更早版本

AEM 6.3.3.8 及更早版本

FasterXML Jackson Databind/Core
远程代码执行

AEM CS 

AEM 6.5.7.0 及更早版本 

AEM 6.4.8.3 及更早版本

AEM 6.3.3.8 及更早版本

Eclipse Jetty
访问控制不当

AEM CS 

AEM 6.5.7.0 及更早版本 

AEM 6.4.8.3 及更早版本

AEM 6.3.3.8 及更早版本

Lucene Queryparser
远程代码执行

AEM CS 

AEM 6.5.7.0 及更早版本 

AEM 6.4.8.3 及更早版本

AEM 6.3.3.8 及更早版本

Apache XML-RPC
任意代码执行

AEM CS 

AEM 6.5.7.0 及更早版本 

AEM 6.4.8.3 及更早版本

AEM 6.3.3.8 及更早版本

Zip4j
任意代码执行

AEM CS 

AEM 6.5.7.0 及更早版本 

AEM 6.4.8.3 及更早版本

AEM 6.3.3.8 及更早版本

Apache Directory LDAP API
访问控制不当

AEM CS 

AEM 6.5.7.0 及更早版本 

AEM 6.4.8.3 及更早版本

AEM 6.3.3.8 及更早版本

Apache Sling
访问控制不当

AEM CS 

AEM 6.5.7.0 及更早版本 

AEM 6.4.8.3 及更早版本

AEM 6.3.3.8 及更早版本

Apache Felix
任意代码执行

AEM CS 

AEM 6.5.7.0 及更早版本 

AEM 6.4.8.3 及更早版本

AEM 6.3.3.8 及更早版本

Apache Solr
读/写访问权限不当

AEM CS 

AEM 6.5.7.0 及更早版本 

AEM 6.4.8.3 及更早版本

AEM 6.3.3.8 及更早版本

Apache Tomcat
访问控制不当

AEM CS 

AEM 6.5.7.0 及更早版本 

AEM 6.4.8.3 及更早版本

AEM 6.3.3.8 及更早版本

jQuery
任意代码执行

AEM CS 

AEM 6.5.7.0 及更早版本 

AEM 6.4.8.3 及更早版本

AEM 6.3.3.8 及更早版本

鸣谢

Adobe 衷心感谢来自 netcentric 的 Thomas Hartmann (CVE-2021-21083) 报告这两个问题,并与 Adobe 一起帮助保护我们的客户。 

 Adobe

更快、更轻松地获得帮助

新用户?

Adobe MAX 2024

Adobe MAX
创意大会

10 月 14 日至 16 日迈阿密海滩及线上

Adobe MAX

创意大会

10 月 14 日至 16 日迈阿密海滩及线上

Adobe MAX 2024

Adobe MAX
创意大会

10 月 14 日至 16 日迈阿密海滩及线上

Adobe MAX

创意大会

10 月 14 日至 16 日迈阿密海滩及线上