ID del boletín
Actualizaciones de seguridad disponibles para Adobe Experience Manager | APSB21-39
|
Fecha de publicación |
Prioridad |
---|---|---|
APSB21-39 |
08 de junio de 2021 |
2 |
Resumen
Adobe ha publicado actualizaciones para Adobe Experience Manager (AEM). Estas actualizaciones solucionan vulnerabilidades clasificadas como importantes y moderadas. La explotación de estas vulnerabilidades podría resultar en la ejecución arbitraria de JavaScript en el navegador.
Versión afectada del producto
Producto | Versión | Plataforma |
---|---|---|
Adobe Experience Manager (AEM) |
AEM Cloud Service (CS) |
Todas |
6.5.8.0 y versiones anteriores |
Todas |
Solución
Adobe categoriza estas actualizaciones de acuerdo con los siguientes niveles de prioridad y recomienda que los usuarios actualicen los programas a las versiones más recientes:
Producto |
Versión |
Plataforma |
Prioridad |
Disponibilidad |
---|---|---|---|---|
Adobe Experience Manager (AEM) |
AEM Cloud Service (CS) |
Todas | 2 | Notas de la versión |
6.5.9.0 |
Todas |
2 |
Notas de la versión de AEM 6.5 Service Pack |
Los clientes que ejecuten en Cloud Service de Adobe Experience Manager recibirán actualizaciones automáticamente con nuevas funciones, así como correcciones de errores de seguridad y funcionalidad.
Póngase en contacto con el servicio de atención al cliente de Adobe para obtener ayuda relacionada con AEM 6.3 y 6.2.
Detalles sobre la vulnerabilidad
Categoría de vulnerabilidad |
Impacto de la vulnerabilidad |
Gravedad |
Puntuación base CVSS |
Número CVE |
|
---|---|---|---|---|---|
Secuencias de comandos en sitios cruzados (XSS) (CWE-79) |
Ejecución de código arbitraria |
Importante |
6.3 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:L |
CVE-2021-28625 |
Autorización incorrecta (CWE-285) |
Denegación de servicio de la aplicación |
Moderado |
3,7 |
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:L |
CVE-2021-28626 |
Falsificación de solicitud del servidor (SSRF) (CWE-918) |
Omisión de la función de seguridad |
Importante |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:L |
CVE-2021-28627 |
Secuencias de comandos en sitios cruzados (XSS) (CWE-79) |
Ejecución de código arbitraria |
Importante |
6.3 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:L |
CVE-2021-28628 |
Actualizaciones de dependencias
Dependencia |
Impacto de la vulnerabilidad |
Versiones afectadas |
Apache Xerces2 |
Denegación de servicio de la aplicación |
AEM CS AEM 6.5.8.0 y versiones anteriores |
Apache Sling | Control de acceso incorrecto | AEM CS AEM 6.5.8.0 y versiones anteriores |
Handlebars.js |
Control de acceso incorrecto | AEM CS AEM 6.5.8.0 y versiones anteriores |
Uber Jar |
Ejecución de código de forma remota | AEM CS AEM 6.5.8.0 y versiones anteriores |
jQuery |
Control de acceso incorrecto |
AEM CS AEM 6.5.8.0 y versiones anteriores |
Eclipse Jetty |
Consumo de recursos no controlado | AEM CS AEM 6.5.8.0 y versiones anteriores |
Reconocimientos
Adobe desea agradecer a SignorRossi (CVE-2021-28627) por notificar este problema y colaborar con Adobe en la protección de nuestros clientes.
Revisiones
15 de junio de 2021: Vector CVSS actualizado para CVE-2021-28626.
Para obtener más información, visite https://helpx.adobe.com/es/security.html o envíe un correo electrónico a la dirección PSIRT@adobe.com.