Boletín de seguridad de Adobe

Actualizaciones de seguridad disponibles para Adobe Experience Manager | APSB21-39

ID del boletín

Fecha de publicación

Prioridad

APSB21-39

08 de junio de 2021 

2

Resumen

Adobe ha publicado actualizaciones para Adobe Experience Manager (AEM). Estas actualizaciones solucionan vulnerabilidades clasificadas como importantes y moderadas.  La explotación de estas vulnerabilidades podría resultar en la ejecución arbitraria de JavaScript en el navegador.

Versión afectada del producto

Producto Versión Plataforma

 

Adobe Experience Manager (AEM)

AEM Cloud Service (CS)
Todas
6.5.8.0 y versiones anteriores 
Todas

Solución

Adobe categoriza estas actualizaciones de acuerdo con los siguientes niveles de prioridad y recomienda que los usuarios actualicen los programas a las versiones más recientes:

Producto

Versión

Plataforma

Prioridad

Disponibilidad

 

Adobe Experience Manager  (AEM) 

AEM Cloud Service (CS)
Todas 2 Notas de la versión

6.5.9.0 

Todas

2

Notas de la versión de AEM 6.5 Service Pack   
Nota:

Los clientes que ejecuten en Cloud Service de Adobe Experience Manager recibirán actualizaciones automáticamente con nuevas funciones, así como correcciones de errores de seguridad y funcionalidad.  

Nota:

Póngase en contacto con el servicio de atención al cliente de Adobe para obtener ayuda relacionada con AEM 6.3 y 6.2.

Detalles sobre la vulnerabilidad

Categoría de vulnerabilidad

Impacto de la vulnerabilidad

Gravedad

Puntuación base CVSS

Número CVE 

Secuencias de comandos en sitios cruzados (XSS)

(CWE-79)

Ejecución de código arbitraria

Importante

6.3

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:L

CVE-2021-28625

Autorización incorrecta (CWE-285)

Denegación de servicio de la aplicación

Moderado

3,7

CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:L

CVE-2021-28626

Falsificación de solicitud del servidor (SSRF)

(CWE-918)

Omisión de la función de seguridad

Importante

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:L

CVE-2021-28627

Secuencias de comandos en sitios cruzados (XSS)

(CWE-79)

Ejecución de código arbitraria

Importante

6.3

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:L

CVE-2021-28628

Actualizaciones de dependencias

Dependencia
Impacto de la vulnerabilidad
Versiones afectadas
Apache Xerces2
Denegación de servicio de la aplicación

AEM CS 

AEM 6.5.8.0 y versiones anteriores

Apache Sling Control de acceso incorrecto

AEM CS 

AEM 6.5.8.0 y versiones anteriores

Handlebars.js
Control de acceso incorrecto

AEM CS 

AEM 6.5.8.0 y versiones anteriores

Uber Jar
Ejecución de código de forma remota

AEM CS 

AEM 6.5.8.0 y versiones anteriores

jQuery
Control de acceso incorrecto

AEM CS 

AEM 6.5.8.0 y versiones anteriores

Eclipse Jetty
Consumo de recursos no controlado

AEM CS 

AEM 6.5.8.0 y versiones anteriores

Reconocimientos

Adobe desea agradecer a SignorRossi (CVE-2021-28627) por notificar este problema y colaborar con Adobe en la protección de nuestros clientes.  

Revisiones

15 de junio de 2021: Vector CVSS actualizado para  CVE-2021-28626.


Para obtener más información, visite https://helpx.adobe.com/es/security.html o envíe un correo electrónico a la dirección PSIRT@adobe.com.

 Adobe

Obtén ayuda de forma más rápida y sencilla

¿Nuevo usuario?

Adobe MAX 2024

Adobe MAX
La conferencia de creatividad

Del 14 al 16 de octubre en Miami Beach y en línea

Adobe MAX

La conferencia de creatividad

Del 14 al 16 de octubre en Miami Beach y en línea

Adobe MAX 2024

Adobe MAX
La conferencia de creatividad

Del 14 al 16 de octubre en Miami Beach y en línea

Adobe MAX

La conferencia de creatividad

Del 14 al 16 de octubre en Miami Beach y en línea