Bezpečnostní bulletin společnosti Adobe

Aktualizace zabezpečení pro aplikaci Adobe Experience Manager | APSB21-39

ID bulletinu

Datum zveřejnění

Priorita

APSB21-39

08. června 2021 

2

Shrnutí

Společnost Adobe zveřejnila aktualizace pro aplikaci Adobe Experience Manager (AEM). Tyto aktualizace řeší chyby zabezpečení označené jako důležitéstřední.  Úspěšné zneužití těchto chyb zabezpečení může vést k libovolnému spuštění kódu JavaScript v prohlížeči.

Dotčené verze produktu

Produkt Verze Platforma

 

Adobe Experience Manager (AEM)

AEM Cloud Service (CS)
Vše
6.5.8.0 a starší verze 
Vše

Řešení

Společnost Adobe označuje tyto aktualizace následujícími úrovněmi priority a doporučuje uživatelům aktualizovat produkt na nejnovější verzi:

Produkt

Verze

Platforma

Priorita

Dostupnost

 

Adobe Experience Manager (AEM) 

AEM Cloud Service (CS)
Vše 2 Poznámky k verzi

6.5.9.0 

Vše

2

AEM 6.5 Service Pack – poznámky k verzi   
Poznámka:

Zákazníci používající službu Cloud Service aplikace Adobe Experience Manager automaticky obdrží aktualizace, které obsahují nové funkce a také opravy chyb ve funkcích.  

Poznámka:

O pomoc s verzemi aplikace AEM 6.3 a 6.2 můžete požádat péči o zákazníky společnosti Adobe.

Podrobnosti o chybě zabezpečení

Kategorie chyby zabezpečení

Dopad chyby zabezpečení

Závažnost

Základní hodnocení CVSS 

Číslo CVE 

Používání skriptů napříč webem (XSS)

(CWE-79)

Svévolné spuštění kódu

Důležitá

6.3

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:L

CVE-2021-28625

Neodpovídající ověření totožnosti (CWE-285)

Útoky DoS na aplikace

Střední

3.7

CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:L

CVE-2021-28626

SSRF (Server-Side Request Forgery)

(CWE-918)

Obcházení bezpečnostních funkcí

Důležitá

5,4

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:L

CVE-2021-28627

Používání skriptů napříč webem (XSS)

(CWE-79)

Svévolné spuštění kódu

Důležitá

6.3

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:L

CVE-2021-28628

Aktualizace závislostí

Závislost
Dopad chyby zabezpečení
Postižené verze
Apache Xerces2
Útoky DoS na aplikace

AEM CS 

AEM 6.5.8.0 a starší 

Apache Sling Nesprávné řízení přístupu

AEM CS 

AEM 6.5.8.0 a starší 

Handlebars.js
Nesprávné řízení přístupu

AEM CS 

AEM 6.5.8.0 a starší 

Uber Jar
Vzdálené spuštění kódu

AEM CS 

AEM 6.5.8.0 a starší 

jQuery
Nesprávné řízení přístupu

AEM CS 

AEM 6.5.8.0 a starší 

Eclipse Jetty
Nekontrolované využití prostředků

AEM CS 

AEM 6.5.8.0 a starší 

Poděkování

Společnost Adobe by chtěla poděkovat SignorRossi (CVE-2021-28627) za nahlášení tohoto problému a za spolupráci ve snaze ochránit naše zákazníky.  

Revize

15. června 2021: Aktualizovaný vektor CVSS pro CVE-2021-28626.


Další informace najdete na adrese https://helpx.adobe.com/security.html nebo e-mailu PSIRT@adobe.com.

 Adobe

Získejte pomoc rychleji a snáze

Nový uživatel?

Adobe MAX 2024

Adobe MAX
Konference věnovaná tvořivosti

14.–16. října Miami Beach a online

Adobe MAX

Konference věnovaná tvořivosti

14.–16. října Miami Beach a online

Adobe MAX 2024

Adobe MAX
Konference věnovaná tvořivosti

14.–16. října Miami Beach a online

Adobe MAX

Konference věnovaná tvořivosti

14.–16. října Miami Beach a online