公告 ID
上次更新日期:
2021年6月16日
可用于 Adobe Experience Manager 的安全更新 | APSB21-39
|
|
发布日期 |
优先级 |
|---|---|---|
|
APSB21-39 |
2021 年 6 月 8 日 |
2 |
摘要
受影响的产品版本
| 产品 | 版本 | 平台 |
|---|---|---|
Adobe Experience Manager (AEM) |
AEM Cloud Service (CS) |
全部 |
| 6.5.8.0 及更早版本 |
全部 |
解决方案
Adobe 按照以下优先级将更新分类,并建议用户将其安装的软件更新至最新版本:
产品 |
版本 |
平台 |
优先级 |
获取途径 |
|---|---|---|---|---|
Adobe Experience Manager (AEM) |
AEM Cloud Service (CS) |
全部 | 2 | 发行说明 |
6.5.9.0 |
全部 |
2 |
AEM 6.5 Service Pack 发行说明 |
注意:
在 Adobe Experience Manager Cloud Service 上运行的客户将自动接收包含新功能以及安全性和功能错误修复的更新。
注意:
请联系 Adobe 客户关怀团队,以获取有关 AEM 6.3 和 6.2 版本的帮助。
漏洞详情
|
漏洞类别 |
漏洞影响 |
严重性 |
CVSS 基础评分 |
CVE 编号 |
|
|---|---|---|---|---|---|
|
跨站点脚本 (XSS) (CWE-79) |
任意代码执行 |
重要 |
6.3 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:L |
CVE-2021-28625 |
|
不当的授权 (CWE-285) |
应用程序拒绝服务 |
中等 |
3.7 |
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:L |
CVE-2021-28626 |
|
服务器端请求伪造 (SSRF) (CWE-918) |
安全功能旁路 |
重要 |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:L |
CVE-2021-28627 |
|
跨站点脚本 (XSS) (CWE-79) |
任意代码执行 |
重要 |
6.3 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:L |
CVE-2021-28628 |
依赖项更新
| 依赖项 |
漏洞影响 |
受影响的版本 |
| Apache Xerces2 |
应用程序拒绝服务 |
AEM CS AEM 6.5.8.0 及更早版本 |
| Apache Sling | 访问控制不当 | AEM CS AEM 6.5.8.0 及更早版本 |
| Handlebars.js |
访问控制不当 | AEM CS AEM 6.5.8.0 及更早版本 |
| Uber Jar |
远程代码执行 | AEM CS AEM 6.5.8.0 及更早版本 |
| jQuery |
访问控制不当 |
AEM CS AEM 6.5.8.0 及更早版本 |
| Eclipse Jetty |
不受控制的资源使用情况 | AEM CS AEM 6.5.8.0 及更早版本 |
鸣谢
Adobe 衷心感谢 SignorRossi 报告此问题 (CVE-2021-28627),并与 Adobe 一起保护我们的客户。
修订
2021 年 6 月 15 日:CVE-2021-28626 的 CVSS 矢量已更新。
有关更多信息,请访问 https://helpx.adobe.com/cn/security.html,或发送电子邮件至 PSIRT@adobe.com。
