Adobe-Sicherheitsbulletin

Sicherheits-Updates für Adobe Experience Manager verfügbar | APSB21-39

Bulletin-ID

Veröffentlichungsdatum

Priorität

APSB21-39

08. Juni 2021 

2

Zusammenfassung

Adobe hat Sicherheitsupdates für Adobe Experience Manager (AEM) veröffentlicht. Diese Updates beheben Schwachstellen, die als wichtig und moderat eingestuft wurden.  Eine erfolgreiche Nutzung dieser Schwachstellen könnte zu einer willkürlichen Ausführung von JavaScript im Browser führen.

Betroffene Produktversionen

Produkt Version Plattform

 

Adobe Experience Manager (AEM)

AEM Cloud Service (CS)
Alle
6.5.8.0 und frühere Versionen 
Alle

Lösung

Adobe empfiehlt allen Anwendern die Installation der neuesten Version und stuft die Priorität dieser Updates wie folgt ein:

Produkt

Version

Plattform

Priorität

Verfügbarkeit

 

Adobe Experience Manager (AEM) 

AEM Cloud Service (CS)
Alle 2 Versionshinweise

6.5.9.0 

Alle

2

AEM 6.5 Service Pack – Versionshinweise   
Hinweis:

Kunden, die den Cloud Service von Adobe Experience Manager nutzen, erhalten automatisch Updates mit neuen Funktionen sowie Fehlerbehebungen für Sicherheit und Funktionalität.  

Hinweis:

Bitte wenden Sie sich für Hilfe mit den AEM-Versionen 6.3 und 6.2 an die Adobe Kundenunterstützung.

Sicherheitslückendetails

Sicherheitslückenkategorie

Sicherheitslückenauswirkung

Problemstufe

CVSS-Basispunktzahl 

CVE-Nummer 

Cross-Site-Scripting (XSS)

(CWE-79)

Willkürliche Ausführung von Code

Wichtig

6.3

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:L

CVE-2021-28625

Unzulässige Autorisierung (CWE-285)

Denial-of-Service-Angriff auf Anwendungsebene

Mittel

3.7

CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:L

CVE-2021-28626

Server-Side Request Forgery (SSRF)

(CWE-918)

Umgehung der Sicherheitsfunktionen

Wichtig

5,4

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:L

CVE-2021-28627

Cross-Site-Scripting (XSS)

(CWE-79)

Willkürliche Ausführung von Code

Wichtig

6.3

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:L

CVE-2021-28628

Updates für Abhängigkeiten

Abhängigkeit
Sicherheitslückenauswirkung
Betroffene Versionen
Apache Xerces2
Denial-of-Service-Angriff auf Anwendungsebene

AEM CS 

AEM 6.5.8.0 und früher 

Apache Sling Unzureichende Zugriffskontrolle

AEM CS 

AEM 6.5.8.0 und früher 

Handlebars.js
Unzureichende Zugriffskontrolle

AEM CS 

AEM 6.5.8.0 und früher 

Uber Jar
Ausführung von externem Code

AEM CS 

AEM 6.5.8.0 und früher 

jQuery
Unzureichende Zugriffskontrolle

AEM CS 

AEM 6.5.8.0 und früher 

Eclipse Jetty
Nicht kontrollierter Ressourcenverbrauch

AEM CS 

AEM 6.5.8.0 und früher 

Danksagung

Adobe bedankt sich bei SignorRossi (CVE-2021-28627) für das Melden dieser Schwachstelle und den Beitrag zum Schutz der Sicherheit unserer Kunden.  

Überarbeitungen

15. Juni 2021: Aktualisierter CVSS-Vektor für  CVE-2021-28626.


Weitere Informationen erhalten Sie unter https://helpx.adobe.com/de/security.html oder per E-Mail an PSIRT@adobe.com.

 Adobe

Schneller und einfacher Hilfe erhalten

Neuer Benutzer?