Adobe 安全性公告

發佈 Adobe Experience Manager 的安全性更新 | APSB21-82

安全性公告 ID

發佈日期

優先順序

APSB21-82

2021 年 9 月 14 日 

2

摘要

Adobe 已發佈 Adobe Experience Manager (AEM) 的更新。這些更新旨在解決多項重大重要弱點。這些弱點一旦遭有心人士利用,可能導致系統任意執行程式碼。

受影響的產品版本

產品 版本 平台

 

Adobe Experience Manager (AEM)

AEM Cloud Service (CS)
全部
6.5.9.0 (含) 以前版本
全部

解決方法

Adobe 依照下列優先順序分級將這些更新分類,並建議使用者將其安裝更新至最新版本:

產品

版本

平台

優先順序

上市情況

 

Adobe Experience Manager  (AEM) 

AEM Cloud Service (CS)
全部 2 版本注意事項

6.5.10.0 

全部

2

AEM 6.5 Service Pack 發行說明
註解:

若客戶執行的是 Adobe Experience Manager 的 Cloud Service,系統會自動接收更新,包括新功能以及安全性與功能錯誤修正。 

註解:

若需尋求 AEM 6.4、6.3 和 6.2 等版本的相關協助,請洽詢 Adobe 客戶服務

弱點詳細資料

弱點類別

弱點影響

嚴重性

CVSS 基本評分

CVE 編號 

跨網站指令碼 (XSS)

(CWE-79)

任意執行程式碼

重要

6.3

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:L/A:N

CVE-2021-40711

輸入驗證不當 (CWE-20)

應用程式阻絕服務

重要

6.5

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H

CVE-2021-40712

認證驗證不當 (CWE-295)

無故略過安全功能

重要

5.9

CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N

CVE-2021-40713

跨網站指令碼 (XSS)

(CWE-79)

任意執行程式碼

重要

6.4

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:N

CVE-2021-40714

存取控制不當 (CWE-284)

無故略過安全功能

重要

5.3

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N


CVE-2021-42725

相依性更新

相依性
弱點影響
受影響的版本
Iodash
任意執行程式碼

AEM CS  

AEM 6.5.9.0 (含) 以前版本

Apache Sling 造訪路徑

AEM CS  

AEM 6.5.9.0 (含) 以前版本

Jetty
拒絕服務

AEM CS  

AEM 6.5.9.0 (含) 以前版本

Jackson-Databind
未檢查位元緩衝區配置

AEM CS   

AEM 6.5.9.0 (含) 以前版本

鳴謝

Adobe 在此感謝 Lorenzo Pirondini (隸屬於 Cognizant 數位業務 Netcentric) (CVE-2021-40711、CVE-2021-40712) 和 Eckbert Andresen (CVE-2021-42725) 回報這些問題,與 Adobe 共同保護客戶的安全。

修訂

2021 年 9 月 27 日:更新 CVE-2021-40711 和 CVE-2021-40712 的鳴謝詳細資訊。

2021 年 10 月 4 日:更新 CVE-2021-40711 的 CVSS 基本評分、向量和嚴重性。

2021 年 10 月 28 日:新增 CVE-2021-42725 的相關細節。


如需詳細資訊,請造訪 https://helpx.adobe.com/tw/security.html,或傳送電子郵件至 PSIRT@adobe.com。

Adobe 標誌

登入您的帳戶

[Feedback V2 Badge]