Adobe-Sicherheitsbulletin

Sicherheits-Updates für Adobe Experience Manager verfügbar | APSB21-103

Bulletin-ID

Veröffentlichungsdatum

Priorität

APSB21-103

14. Dezember 2021 

2

Zusammenfassung

Adobe hat Sicherheitsupdates für Adobe Experience Manager (AEM) veröffentlicht. Diese Updates schließen Schwachstellen, die als kritisch und wichtig eingestuft wurden. Die erfolgreiche Nutzung dieser Schwachstellen könnte zur Ausführung von beliebigem Code und zur Umgehung von Sicherheitsfunktionen führen.

Betroffene Produktversionen

Produkt Version Plattform

 

Adobe Experience Manager (AEM)

AEM Cloud Service (CS)
Alle
6.5.10.0  und frühere Versionen 
Alle

Lösung

Adobe empfiehlt allen Anwendern die Installation der neuesten Version und stuft die Priorität dieser Updates wie folgt ein:

Produkt

Version

Plattform

Priorität

Verfügbarkeit

 

Adobe Experience Manager (AEM) 

AEM Cloud Service (CS)
Alle 2 Versionshinweise

6.5.11.0 

Alle

2

AEM 6.5 Service Pack – Versionshinweise   
Hinweis:

Kunden, die den Cloud Service von Adobe Experience Manager nutzen, erhalten automatisch Updates mit neuen Funktionen sowie Fehlerbehebungen für Sicherheit und Funktionalität.  

Hinweis:

Bitte wenden Sie sich für Hilfe mit den AEM-Versionen 6.4, 6.3 und 6.2 an die Adobe Kundenunterstützung.

Sicherheitslückendetails

Sicherheitslückenkategorie

Sicherheitslückenauswirkung

Problemstufe

CVSS-Basispunktzahl 

CVE-Nummer 

Cross-Site-Scripting (XSS)

(CWE-79)

Willkürliche Ausführung von Code

Kritisch

8.0

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H

CVE-2021-43761

Nicht ordnungsgemäße Eingrenzung externer XML-Entitätsreferenzen ('XXE') (CWE-611)

Willkürliche Ausführung von Code

Kritisch

9.8

CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

CVE-2021-40722

Unangemessene Eingabevalidierung (CWE-20)

Umgehung der Sicherheitsfunktionen

Wichtig

6.5

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N

CVE-2021-43762

Cross-Site-Scripting (XSS)

(CWE-79)

Willkürliche Ausführung von Code

Kritisch

8.0

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H

CVE-2021-43764

Cross-Site-Scripting (beständiges XSS) (CWE-79)

Willkürliche Ausführung von Code

Kritisch

8.1

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:N



CVE-2021-43765

Cross-Site-Scripting (beständiges XSS) (CWE-79)

Willkürliche Ausführung von Code

Kritisch

8.1

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:N

CVE-2021-44176

Cross-Site-Scripting (beständiges XSS) (CWE-79)

Willkürliche Ausführung von Code

Kritisch

8.1

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:N

CVE-2021-44177

Cross-Site-Scripting (Reflektiertes XSS) (CWE-79)

Willkürliche Ausführung von Code

Wichtig

5.4

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:N

CVE-2021-44178

Updates für Abhängigkeiten

Abhängigkeit
Sicherheitslückenauswirkung
Betroffene Versionen
xmlgraphics
Berechtigungsausweitung

AEM CS  

AEM 6.5.9.0 und früher 

ionetty
Berechtigungsausweitung

AEM CS  

AEM 6.5.9.0 und früher 

Danksagung

Adobe bedankt sich bei den folgenden Forschern für das Melden dieser Schwachstellen und ihre Zusammenarbeit mit Adobe zum Schutz der Sicherheit unserer Kunden: 

  • BASF - CVE-2021-44178, CVE-2021-44177, CVE-2021-44176, CVE-2021-43765, CVE-2021-43764



 

Überarbeitungen

14. Dezember 2021: Aktualisierte Bestätigung für CVE-2021-43762

16. Dezember 2021: Die Prioritätsstufe des Bulletins wurde auf 2 korrigiert

29. Dezember 2021: Danksagung für CVE-2021-40722 hinzugefügt


Weitere Informationen erhalten Sie unter https://helpx.adobe.com/de/security.html oder per E-Mail an PSIRT@adobe.com.

 Adobe

Schneller und einfacher Hilfe erhalten

Neuer Benutzer?

Adobe MAX 2024

Adobe MAX
Die Konferenz für Kreative

14. bis 16. Oktober in Miami Beach und online

Adobe MAX

Die Konferenz für Kreative

14. bis 16. Oktober in Miami Beach und online

Adobe MAX 2024

Adobe MAX
Die Konferenz für Kreative

14. bis 16. Oktober in Miami Beach und online

Adobe MAX

Die Konferenz für Kreative

14. bis 16. Oktober in Miami Beach und online