Bulletin-ID
Sidst opdateret den
18. jan. 2022
Sikkerhedsopdateringer til Adobe Experience Manager | APSB21-103
|
|
Udgivelsesdato |
Prioritet |
|---|---|---|
|
APSB21-103 |
14. december 2021 |
2 |
Resumé
Berørte produktversioner
| Produkt | Version | Platform |
|---|---|---|
Adobe Experience Manager (AEM) |
AEM Cloud Service (CS) |
Alle |
| 6.5.10.0 og tidligere |
Alle |
Løsning
Adobe kategoriserer disse opdateringer med følgende prioritetsgrader og anbefaler, at brugere opdaterer deres installation til den nyeste version:
Produkt |
Version |
Platform |
Prioritet |
Tilgængelighed |
|---|---|---|---|---|
Adobe Experience Manager (AEM) |
AEM Cloud Service (CS) |
Alle | 2 | Produktbemærkninger |
6.5.11.0 |
Alle |
2 |
Produktbemærkninger til AEM 6.5 Service Pack |
Bemærk:
Kunder, der kører på Adobe Experience Manager’s Cloud Service, vil automatisk modtage opdateringer, som indeholder nye funktioner samt sikkerheds- og funktionsfejlrettelser.
Bemærk:
Kontakt Adobes kundeservice for at få assistance til AEM-versionerne 6.4, 6.3 og 6.2.
Sikkerhedsoplysninger
|
Sikkerhedskategori |
Virkning af sikkerhedsproblem |
Alvorlighed |
CVSS-basisscore |
CVE-nummer |
|
|---|---|---|---|---|---|
|
Scripting på tværs af websteder (XSS) (CWE-79) |
Vilkårlig kodekørsel |
Kritisk |
8.0 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H |
CVE-2021-43761 |
|
Ukorrekt begrænsning af XXE (XML External Entity) (CWE-611) |
Vilkårlig kodekørsel |
Kritisk |
9.8 |
CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
CVE-2021-40722 |
|
Ukorrekt input-validering (CWE-20) |
Sikkerhedsomgåelse |
Vigtigt |
6.5 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N |
CVE-2021-43762 |
|
Scripting på tværs af websteder (XSS) (CWE-79) |
Vilkårlig kodekørsel |
Kritisk |
8.0 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H |
CVE-2021-43764 |
|
Cross-site scripting (lagret XSS) (CWE-79) |
Vilkårlig kodekørsel |
Kritisk |
8.1 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:N |
|
|
Cross-site scripting (lagret XSS) (CWE-79) |
Vilkårlig kodekørsel |
Kritisk |
8.1 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:N |
CVE-2021-44176 |
|
Cross-site scripting (lagret XSS) (CWE-79) |
Vilkårlig kodekørsel |
Kritisk |
8.1 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:N |
CVE-2021-44177 |
|
Cross-site scripting (reflekteret XSS) (CWE-79) |
Vilkårlig kodekørsel |
Vigtigt |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:N |
CVE-2021-44178 |
Opdateringer af afhængigheder
| Afhængighed |
Virkning af sikkerhedsproblem |
Berørte versioner |
| xmlgraphics |
Eskalering af rettigheder | AEM CS AEM 6.5.9.0 og tidligere |
| ionetty |
Eskalering af rettigheder |
AEM CS AEM 6.5.9.0 og tidligere |
Tak til følgende personer
Adobe vil gerne takke følgende at rapportere disse sikkerhedsproblemer og for at samarbejde med Adobe for at beskytte vores kunder:
BASF – CVE-2021-44178, CVE-2021-44177, CVE-2021-44176, CVE-2021-43765, CVE-2021-43764
- Lorenzo Pirondini (Netcentric, a Cognizant Digital Business) - CVE-2021-43762
- Muh. Azinar Ismail og Adi Satriadharma – CVE-2021-40722
Revisioner
14. december 2021: Opdateret bekræftelse for CVE-2021-43762
16. december 2021: Rettet prioritetsniveau for bulletin til 2
29. december 2021: Opdateret anerkendelse for CVE-2021-40722
Du kan få yderligere oplysninger på https://helpx.adobe.com/dk/security.html eller ved at skrive til PSIRT@adobe.com.
