Adobe 安全公告

可用于 Adobe Experience Manager 的安全更新 | APSB21-39

公告 ID

发布日期

优先级

APSB21-39

2021 年 6 月 8 日 

2

摘要

Adobe 发布了适用于 Adobe Experience Manager (AEM) 的更新。这些更新解决了一些等级为重要中等的漏洞。如果成功利用这些漏洞,可能会导致在浏览器中执行任意 JavaScript。

受影响的产品版本

产品 版本 平台

 

Adobe Experience Manager (AEM)

AEM Cloud Service (CS)
全部
6.5.8.0 及更早版本
全部

解决方案

Adobe 按照以下优先级将更新分类,并建议用户将其安装的软件更新至最新版本:

产品

版本

平台

优先级

获取途径

 

Adobe Experience Manager (AEM) 

AEM Cloud Service (CS)
全部 2 发行说明

6.5.9.0 

全部

2

AEM 6.5 Service Pack 发行说明
注意:

在 Adobe Experience Manager Cloud Service 上运行的客户将自动接收包含新功能以及安全性和功能错误修复的更新。 

注意:

请联系 Adobe 客户关怀团队,以获取有关 AEM 6.3 和 6.2 版本的帮助。

漏洞详情

漏洞类别

漏洞影响

严重性

CVSS 基础评分 

CVE 编号 

跨站点脚本 (XSS)

(CWE-79)

任意代码执行

重要

6.3

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:L

CVE-2021-28625

不当的授权 (CWE-285)

应用程序拒绝服务

中等

3.7

CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:L

CVE-2021-28626

服务器端请求伪造 (SSRF)

(CWE-918)

安全功能旁路

重要

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:L

CVE-2021-28627

跨站点脚本 (XSS)

(CWE-79)

任意代码执行

重要

6.3

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:L

CVE-2021-28628

依赖项更新

依赖项
漏洞影响
受影响的版本
Apache Xerces2
应用程序拒绝服务

AEM CS 

AEM 6.5.8.0 及更早版本 

Apache Sling 访问控制不当

AEM CS 

AEM 6.5.8.0 及更早版本 

Handlebars.js
访问控制不当

AEM CS 

AEM 6.5.8.0 及更早版本 

Uber Jar
远程代码执行

AEM CS 

AEM 6.5.8.0 及更早版本 

jQuery
访问控制不当

AEM CS 

AEM 6.5.8.0 及更早版本 

Eclipse Jetty
不受控制的资源使用情况

AEM CS 

AEM 6.5.8.0 及更早版本 

鸣谢

Adobe 衷心感谢 SignorRossi 报告此问题 (CVE-2021-28627),并与 Adobe 一起保护我们的客户。  

修订

2021 年 6 月 15 日:CVE-2021-28626 的 CVSS 矢量已更新。


有关更多信息,请访问 https://helpx.adobe.com/cn/security.html,或发送电子邮件至 PSIRT@adobe.com。

更快、更轻松地获得帮助

新用户?