ID del boletín
Última actualización el
26/12/2022
Actualizaciones de seguridad disponibles para Adobe Experience Manager | APSB21-103
|
|
Fecha de publicación |
Prioridad |
|---|---|---|
|
APSB21-103 |
14 de diciembre de 2021 |
2 |
Resumen
Adobe ha publicado actualizaciones para Adobe Experience Manager (AEM). Estas actualizaciones solucionan vulnerabilidades clasificadas como críticas e importantes. El aprovechamiento de estas vulnerabilidades podría dar lugar a la ejecución arbitraria de código y la omisión de la función de seguridad.
Versión afectada del producto
| Producto | Versión | Plataforma |
|---|---|---|
Adobe Experience Manager (AEM) |
AEM Cloud Service (CS) |
Todas |
| 6.5.10.0 y versiones anteriores |
Todas |
Solución
Adobe categoriza estas actualizaciones de acuerdo con los siguientes niveles de prioridad y recomienda que los usuarios actualicen los programas a las versiones más recientes:
Producto |
Versión |
Plataforma |
Prioridad |
Disponibilidad |
|---|---|---|---|---|
Adobe Experience Manager (AEM) |
AEM Cloud Service (CS) |
Todas | 2 | Notas de la versión |
6.5.11.0 |
Todas |
2 |
Notas de la versión de AEM 6.5 Service Pack |
Nota
Los clientes que ejecuten en Cloud Service de Adobe Experience Manager recibirán actualizaciones automáticamente con nuevas funciones, así como correcciones de errores de seguridad y funcionalidad.
Nota
Póngase en contacto con el servicio de atención al cliente de Adobe para obtener ayuda relacionada con AEM 6.4, 6.3 y 6.2.
Detalles sobre la vulnerabilidad
|
Categoría de vulnerabilidad |
Impacto de la vulnerabilidad |
Gravedad |
Puntuación base CVSS |
Número CVE |
|
|---|---|---|---|---|---|
|
Secuencias de comandos en sitios cruzados (XSS) (CWE-79) |
Ejecución de código arbitraria |
Crítico |
8.0 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H |
CVE-2021-43761 |
|
Restricción incorrecta de la referencia de entidades externas ('XXE') (CWE-611) |
Ejecución de código arbitraria |
Crítico |
9.8 |
CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
CVE-2021-40722 |
|
Validación incorrecta de la entrada (CWE-20) |
Omisión de la función de seguridad |
Importante |
6.5 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N |
CVE-2021-43762 |
|
Secuencias de comandos en sitios cruzados (XSS) (CWE-79) |
Ejecución de código arbitraria |
Crítico |
8.0 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H |
CVE-2021-43764 |
|
Secuencias de comandos en sitios cruzados (XSS almacenadas) (CWE-79) |
Ejecución de código arbitraria |
Crítico |
8.1 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:N |
|
|
Secuencias de comandos en sitios cruzados (XSS almacenadas) (CWE-79) |
Ejecución de código arbitraria |
Crítica |
8.1 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:N |
CVE-2021-44176 |
|
Secuencias de comandos en sitios cruzados (XSS almacenadas) (CWE-79) |
Ejecución de código arbitraria |
Crítico |
8.1 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:N |
CVE-2021-44177 |
|
Ejecución de scripts en sitios múltiples (XSS reflejado) (CWE-79) |
Ejecución de código arbitraria |
Importante |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:N |
CVE-2021-44178 |
Actualizaciones de dependencias
| Dependencia |
Impacto de la vulnerabilidad |
Versiones afectadas |
| xmlgraphics |
Ampliación de privilegios | AEM CS AEM 6.5.9.0 y versiones anteriores |
| ionetty |
Ampliación de privilegios |
AEM CS AEM 6.5.9.0 y versiones anteriores |
Reconocimientos
Adobe desea dar las gracias a las siguientes personas por informar sobre estos problemas y por colaborar con Adobe para ayudarnos a proteger la seguridad de nuestros clientes:
BASF - CVE-2021-44178, CVE-2021-44177, CVE-2021-44176, CVE-2021-43765, CVE-2021-43764
- Lorenzo Pirondini de (Netcentric, una empresa digital de Cognizant) - CVE-2021-43762
- Muh. Azinar Ismail y Adi Satriadharma - CVE-2021-40722
Revisiones
14 de diciembre de 2021: Reconocimiento actualizado para CVE-2021-43762
16 de diciembre de 2021: Se ha corregido el nivel de prioridad del boletín a 2
29 de diciembre de 2021: Se ha añadido un reconocimiento para CVE-2021-40722
Para obtener más información, visite https://helpx.adobe.com/es/security.html o envíe un correo electrónico a la dirección PSIRT@adobe.com.
