Tiedotteen tunnus
Adobe Experience Managerin tietoturvapäivitykset | APSB21-103
|
Julkaisupäivä |
Prioriteetti |
---|---|---|
APSB21-103 |
14.12.2021 |
2 |
Yhteenveto
Adobe on julkaissut päivityksiä Adobe Experience Manageriin (AEM). Nämä päivitykset ratkaisevat kriittisiä ja tärkeitä haavoittuvuuksia. Jos näitä haavoittuvuuksia onnistutaan hyödyntämään, se voi johtaa mielivaltaisen koodin suorittamiseen ja tietoturvaominaisuuksien ohittamiseen.
Alttiit tuoteversiot
Tuote | Versio | Ympäristö |
---|---|---|
Adobe Experience Manager (AEM) |
AEM Cloud Service (CS) |
Kaikki |
6.5.10.0 ja aiemmat versiot |
Kaikki |
Ratkaisu
Adobe luokittelee päivitykset seuraavan prioriteettiluokituksen mukaisesti ja suosittelee käyttäjiä päivittämään asennuksensa uusimpaan versioon:
Tuote |
Versio |
Ympäristö |
Prioriteetti |
Saatavuus |
---|---|---|---|---|
Adobe Experience Manager (AEM) |
AEM Cloud Service (CS) |
Kaikki | 2 | Julkaisutiedot |
6.5.11.0 |
Kaikki |
2 |
AEM 6.5 Service Packin julkaisutiedot |
Adobe Experience Managerin Cloud Service -palvelua käyttävät asiakkaat saavat automaattisesti päivityksiä, jotka sisältävät uusia ominaisuuksia, kuten myös tietoturvaan ja toiminnallisuuteen liittyviä virheenkorjauksia.
Ota yhteyttä Adoben asiakaspalveluun, jos tarvitset apua AEM:n versioihin 6.4, 6.3 ja 6.2 liittyen.
Lisätietoja haavoittuvuuksista
Haavoittuvuusluokka |
Haavoittuvuuden vaikutus |
Vakavuus |
CVSS-peruspisteet |
CVE-numero |
|
---|---|---|---|---|---|
Sivustojen välinen skriptaus (XSS) (CWE-79) |
Mielivaltaisen koodin suoritus |
Kriittinen |
8.0 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H |
CVE-2021-43761 |
Sopimaton XML:n ulkoisen kohteen viitteen rajoitus (XXE) (CWE-611) |
Mielivaltaisen koodin suoritus |
Kriittinen |
9.8 |
CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
CVE-2021-40722 |
Virheellinen syötteen tarkistus (CWE-20) |
Tietoturvaominaisuuden ohitus |
Tärkeä |
6.5 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N |
CVE-2021-43762 |
Sivustojen välinen skriptaus (XSS) (CWE-79) |
Mielivaltaisen koodin suoritus |
Kriittinen |
8.0 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H |
CVE-2021-43764 |
Sivustojen välinen skriptaus (tallennettu XSS) (CWE-79) |
Mielivaltaisen koodin suoritus |
Kriittinen |
8.1 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:N |
|
Sivustojen välinen skriptaus (tallennettu XSS) (CWE-79) |
Mielivaltaisen koodin suoritus |
Kriittinen |
8.1 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:N |
CVE-2021-44176 |
Sivustojen välinen skriptaus (tallennettu XSS) (CWE-79) |
Mielivaltaisen koodin suoritus |
Kriittinen |
8.1 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:N |
CVE-2021-44177 |
Sivustojen välinen skriptaus (heijastettu XSS) (CWE-79) |
Mielivaltaisen koodin suoritus |
Tärkeä |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:N |
CVE-2021-44178 |
Riippuvuussuhteiden päivitykset
Riippuvuussuhde |
Haavoittuvuuden vaikutus |
Versiot |
xmlgraphics |
Käyttöoikeuksien laajennus | AEM CS AEM 6.5.9.0 ja aiemmat versiot |
ionetty |
Käyttöoikeuksien laajennus |
AEM CS AEM 6.5.9.0 ja aiemmat versiot |
Kiitokset
Adobe haluaa kiittää seuraavia henkilöitä näistä ongelmista ilmoittamisesta ja yhteistyöstä Adoben kanssa sen asiakkaiden suojaamisessa:
BASF - CVE-2021-44178, CVE-2021-44177, CVE-2021-44176, CVE-2021-43765, CVE-2021-43764
- Lorenzo Pirondini (Netcentric, Cognizant Digital Business) - CVE-2021-43762
- Muh. Azinar Ismail ja Adi Satriadharma – CVE-2021-40722
Versiot
14.12.2021: Päivitettiin ilmoitusta CVE-2021-43762
16.12.2021: Korjattiin tiedotteen prioriteettitasoksi 2
29. joulukuuta 2021: päivitettiin kiitos haavoittuvuudesta CVE-2021-40722
Saat lisätietoja siirtymällä osoitteeseen https://helpx.adobe.com/security.html tai lähettämällä sähköpostia osoitteeseen PSIRT@adobe.com.