Bezpečnostní bulletin společnosti Adobe

Hledat

Naposledy aktualizováno 16. 6. 2021

Aktualizace zabezpečení pro aplikaci Adobe Experience Manager | APSB21-39

ID bulletinu	Datum zveřejnění	Priorita
APSB21-39	08. června 2021	2

Shrnutí

Společnost Adobe zveřejnila aktualizace pro aplikaci Adobe Experience Manager (AEM). Tyto aktualizace řeší chyby zabezpečení označené jako důležité a střední. Úspěšné zneužití těchto chyb zabezpečení může vést k libovolnému spuštění kódu JavaScript v prohlížeči.

Dotčené verze produktu

Produkt	Verze	Platforma
Adobe Experience Manager (AEM)	AEM Cloud Service (CS)	Vše
6.5.8.0 a starší verze	Vše

Produkt

Verze

Platforma

Adobe Experience Manager (AEM)

AEM Cloud Service (CS)

Vše

6.5.8.0 a starší verze

Vše

Řešení

Společnost Adobe označuje tyto aktualizace následujícími úrovněmi priority a doporučuje uživatelům aktualizovat produkt na nejnovější verzi:

Produkt	Verze	Platforma	Priorita	Dostupnost
Adobe Experience Manager (AEM)	AEM Cloud Service (CS)	Vše	2	Poznámky k verzi
6.5.9.0	Vše	2	AEM 6.5 Service Pack – poznámky k verzi

Produkt

Verze

Platforma

Priorita

Dostupnost

Adobe Experience Manager (AEM)

AEM Cloud Service (CS)

Vše

Poznámky k verzi

6.5.9.0

Vše

AEM 6.5 Service Pack – poznámky k verzi

Poznámka:

Zákazníci používající službu Cloud Service aplikace Adobe Experience Manager automaticky obdrží aktualizace, které obsahují nové funkce a také opravy chyb ve funkcích.

Poznámka:

O pomoc s verzemi aplikace AEM 6.3 a 6.2 můžete požádat péči o zákazníky společnosti Adobe.

Podrobnosti o chybě zabezpečení

Kategorie chyby zabezpečení	Dopad chyby zabezpečení	Závažnost	Základní hodnocení CVSS	Vektor CVSS	Číslo CVE
Používání skriptů napříč webem (XSS) (CWE-79)	Svévolné spuštění kódu	Důležitá	6.3	CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:L	CVE-2021-28625
Neodpovídající ověření totožnosti (CWE-285)	Útoky DoS na aplikace	Střední	3.7	CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:L	CVE-2021-28626
SSRF (Server-Side Request Forgery) (CWE-918)	Obcházení bezpečnostních funkcí	Důležitá	5,4	CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:L	CVE-2021-28627
Používání skriptů napříč webem (XSS) (CWE-79)	Svévolné spuštění kódu	Důležitá	6.3	CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:L	CVE-2021-28628

Aktualizace závislostí

Závislost	Dopad chyby zabezpečení	Postižené verze
Apache Xerces2	Útoky DoS na aplikace	AEM CS AEM 6.5.8.0 a starší
Apache Sling	Nesprávné řízení přístupu	AEM CS AEM 6.5.8.0 a starší
Handlebars.js	Nesprávné řízení přístupu	AEM CS AEM 6.5.8.0 a starší
Uber Jar	Vzdálené spuštění kódu	AEM CS AEM 6.5.8.0 a starší
jQuery	Nesprávné řízení přístupu	AEM CS AEM 6.5.8.0 a starší
Eclipse Jetty	Nekontrolované využití prostředků	AEM CS AEM 6.5.8.0 a starší

Poděkování

Společnost Adobe by chtěla poděkovat SignorRossi (CVE-2021-28627) za nahlášení tohoto problému a za spolupráci ve snaze ochránit naše zákazníky.

Revize

15. června 2021: Aktualizovaný vektor CVSS pro CVE-2021-28626.

Další informace najdete na adrese https://helpx.adobe.com/security.html nebo e-mailu PSIRT@adobe.com.

Získejte pomoc rychleji a snáze

Nový uživatel?