ID del boletín
Última actualización el
16 jun. 2021
Actualizaciones de seguridad disponibles para Adobe Experience Manager | APSB21-39
|
|
Fecha de publicación |
Prioridad |
|---|---|---|
|
APSB21-39 |
08 de junio de 2021 |
2 |
Resumen
Adobe ha publicado actualizaciones para Adobe Experience Manager (AEM). Estas actualizaciones solucionan vulnerabilidades clasificadas como importantes y moderadas. La explotación de estas vulnerabilidades podría resultar en la ejecución arbitraria de JavaScript en el navegador.
Versión afectada del producto
| Producto | Versión | Plataforma |
|---|---|---|
Adobe Experience Manager (AEM) |
AEM Cloud Service (CS) |
Todas |
| 6.5.8.0 y versiones anteriores |
Todas |
Solución
Adobe categoriza estas actualizaciones de acuerdo con los siguientes niveles de prioridad y recomienda que los usuarios actualicen los programas a las versiones más recientes:
Producto |
Versión |
Plataforma |
Prioridad |
Disponibilidad |
|---|---|---|---|---|
Adobe Experience Manager (AEM) |
AEM Cloud Service (CS) |
Todas | 2 | Notas de la versión |
6.5.9.0 |
Todas |
2 |
Notas de la versión de AEM 6.5 Service Pack |
Nota:
Los clientes que ejecuten en Cloud Service de Adobe Experience Manager recibirán actualizaciones automáticamente con nuevas funciones, así como correcciones de errores de seguridad y funcionalidad.
Nota:
Póngase en contacto con el servicio de atención al cliente de Adobe para obtener ayuda relacionada con AEM 6.3 y 6.2.
Detalles sobre la vulnerabilidad
|
Categoría de vulnerabilidad |
Impacto de la vulnerabilidad |
Gravedad |
Puntuación base CVSS |
Número CVE |
|
|---|---|---|---|---|---|
|
Secuencias de comandos en sitios cruzados (XSS) (CWE-79) |
Ejecución de código arbitraria |
Importante |
6.3 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:L |
CVE-2021-28625 |
|
Autorización incorrecta (CWE-285) |
Denegación de servicio de la aplicación |
Moderado |
3,7 |
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:L |
CVE-2021-28626 |
|
Falsificación de solicitud del servidor (SSRF) (CWE-918) |
Omisión de la función de seguridad |
Importante |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:L |
CVE-2021-28627 |
|
Secuencias de comandos en sitios cruzados (XSS) (CWE-79) |
Ejecución de código arbitraria |
Importante |
6.3 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:L |
CVE-2021-28628 |
Actualizaciones de dependencias
| Dependencia |
Impacto de la vulnerabilidad |
Versiones afectadas |
| Apache Xerces2 |
Denegación de servicio de la aplicación |
AEM CS AEM 6.5.8.0 y versiones anteriores |
| Apache Sling | Control de acceso incorrecto | AEM CS AEM 6.5.8.0 y versiones anteriores |
| Handlebars.js |
Control de acceso incorrecto | AEM CS AEM 6.5.8.0 y versiones anteriores |
| Uber Jar |
Ejecución de código de forma remota | AEM CS AEM 6.5.8.0 y versiones anteriores |
| jQuery |
Control de acceso incorrecto |
AEM CS AEM 6.5.8.0 y versiones anteriores |
| Eclipse Jetty |
Consumo de recursos no controlado | AEM CS AEM 6.5.8.0 y versiones anteriores |
Reconocimientos
Adobe desea agradecer a SignorRossi (CVE-2021-28627) por notificar este problema y colaborar con Adobe en la protección de nuestros clientes.
Revisiones
15 de junio de 2021: Vector CVSS actualizado para CVE-2021-28626.
Para obtener más información, visite https://helpx.adobe.com/es/security.html o envíe un correo electrónico a la dirección PSIRT@adobe.com.
