ID del boletín
Última actualización el
26/12/2022
Actualizaciones de seguridad disponibles para Adobe Experience Manager | APSB21-15
|
|
Fecha de publicación |
Prioridad |
|---|---|---|
|
APSB21-15 |
11 de mayo de 2021 |
2 |
Resumen
Adobe ha publicado actualizaciones para Adobe Experience Manager (AEM). Estas actualizaciones solucionan vulnerabilidades clasificadas como críticas e importantes. La explotación de estas vulnerabilidades podría resultar en la ejecución arbitraria de JavaScript en el navegador.
Versión afectada del producto
| Producto | Versión | Plataforma |
|---|---|---|
Adobe Experience Manager (AEM) |
AEM Cloud Service (CS) |
Todas |
| 6.5.7.0 y versiones anteriores |
Todas |
|
| 6.4.8.3 y versiones anteriores |
Todas |
|
| 6.3.3.8 y versiones anteriores |
Todas |
Solución
Adobe categoriza estas actualizaciones de acuerdo con los siguientes niveles de prioridad y recomienda que los usuarios actualicen los programas a las versiones más recientes:
Producto |
Versión |
Plataforma |
Prioridad |
Disponibilidad |
|---|---|---|---|---|
Adobe Experience Manager (AEM) |
AEM Cloud Service (CS) |
Todas | 2 | Notas de la versión |
6.5.8.0 |
Todas |
2 |
Notas de la versión de AEM 6.5 Service Pack | |
6.4.8.4 |
Todas |
2 |
Nota:
Los clientes que ejecuten en Cloud Service de Adobe Experience Manager recibirán actualizaciones automáticamente con nuevas funciones, así como correcciones de errores de seguridad y funcionalidad.
Nota:
AEM Cumulative Fix Pack 6.4.8.4 es una actualización importante que incluye varias correcciones internas y de clientes desde la publicación de AEM 6.4 Service Pack 8 (6.4.8.0) en marzo de 2020.
Nota:
Póngase en contacto con el servicio de atención al cliente de Adobe para obtener ayuda relacionada con AEM 6.3 y 6.2.
Detalles sobre la vulnerabilidad
|
Categoría de vulnerabilidad |
Impacto de la vulnerabilidad |
Gravedad |
Número CVE |
Versiones afectadas |
|---|---|---|---|---|
|
Control de acceso incorrecto |
Denegación de servicio de la aplicación |
Importante |
CVE-2021-21083 |
AEM CS AEM 6.5.7.0 y versiones anteriores AEM 6.4.8.3 y versiones anteriores AEM 6.3.3.8 y versiones anteriores |
|
Ejecución de scripts en sitios cruzados (almacenados) |
Ejecución de JavaScript arbitraria en el navegador |
Crítico |
CVE-2021-21084 |
AEM CS AEM 6.5.7.0 y versiones anteriores AEM 6.4.8.3 y versiones anteriores AEM 6.3.3.8 y versiones anteriores |
Actualizaciones de dependencias
| Dependencia |
Impacto de la vulnerabilidad |
Versiones afectadas |
| Commons-io |
Control de acceso incorrecto |
AEM CS AEM 6.5.7.0 y versiones anteriores AEM 6.4.8.3 y versiones anteriores AEM 6.3.3.8 y versiones anteriores |
| MetadataExtractor |
Consumo de recursos no controlado |
AEM CS AEM 6.5.7.0 y versiones anteriores AEM 6.4.8.3 y versiones anteriores AEM 6.3.3.8 y versiones anteriores |
| FasterXML Jackson Databind/Core |
Ejecución de código de forma remota |
AEM CS AEM 6.5.7.0 y versiones anteriores AEM 6.4.8.3 y versiones anteriores AEM 6.3.3.8 y versiones anteriores |
| Eclipse Jetty |
Control de acceso incorrecto |
AEM CS AEM 6.5.7.0 y versiones anteriores AEM 6.4.8.3 y versiones anteriores AEM 6.3.3.8 y versiones anteriores |
| Lucene Queryparser |
Ejecución de código de forma remota |
AEM CS AEM 6.5.7.0 y versiones anteriores AEM 6.4.8.3 y versiones anteriores AEM 6.3.3.8 y versiones anteriores |
| Apache XML-RPC |
Ejecución arbitraria de código |
AEM CS AEM 6.5.7.0 y versiones anteriores AEM 6.4.8.3 y versiones anteriores AEM 6.3.3.8 y versiones anteriores |
| Zip4j |
Ejecución arbitraria de código |
AEM CS AEM 6.5.7.0 y versiones anteriores AEM 6.4.8.3 y versiones anteriores AEM 6.3.3.8 y versiones anteriores |
| Apache Directory LDAP API |
Control de acceso incorrecto | AEM CS AEM 6.5.7.0 y versiones anteriores AEM 6.4.8.3 y versiones anteriores AEM 6.3.3.8 y versiones anteriores |
| Apache Sling |
Control de acceso incorrecto | AEM CS AEM 6.5.7.0 y versiones anteriores AEM 6.4.8.3 y versiones anteriores AEM 6.3.3.8 y versiones anteriores |
| Apache Felix |
Ejecución arbitraria de código |
AEM CS AEM 6.5.7.0 y versiones anteriores AEM 6.4.8.3 y versiones anteriores AEM 6.3.3.8 y versiones anteriores |
| Apache Solr |
Acceso de lectura y escritura incorrecto |
AEM CS AEM 6.5.7.0 y versiones anteriores AEM 6.4.8.3 y versiones anteriores AEM 6.3.3.8 y versiones anteriores |
| Apache Tomcat |
Control de acceso incorrecto |
AEM CS AEM 6.5.7.0 y versiones anteriores AEM 6.4.8.3 y versiones anteriores AEM 6.3.3.8 y versiones anteriores |
| jQuery |
Ejecución arbitraria de código |
AEM CS AEM 6.5.7.0 y versiones anteriores AEM 6.4.8.3 y versiones anteriores AEM 6.3.3.8 y versiones anteriores |
Reconocimientos
Adobe desea dar las gracias a Thomas Hartmann de netcentric (CVE-2021-21083) por informarnos de ambos problemas y por colaborar con Adobe para ayudarnos a proteger a nuestros clientes.
