Bollettino sulla sicurezza di Adobe

Aggiornamenti di sicurezza disponibili per Adobe Experience Manager | APSB21-39

ID bollettino

Data di pubblicazione

Priorità

APSB21-39

08 giugno 2021 

2

Riepilogo

Adobe ha rilasciato aggiornamenti per Adobe Experience Manager (AEM). Questi aggiornamenti risolvono vulnerabilità Importanti e Critiche.  Se sfruttate con successo, queste vulnerabilità potrebbero provocare l'esecuzione arbitraria di JavaScript nel browser.

Versioni del prodotto interessate

Prodotto Versione Piattaforma

 

Adobe Experience Manager (AEM)

Cloud Service AEM (CS)
Tutte
6.5.8.0 e versioni precedenti 
Tutte

Soluzione

Adobe classifica questi aggiornamenti in base ai seguenti livelli di priorità e consiglia agli utenti interessati di aggiornare la propria installazione alla versione più recente:

Prodotto

Versione

Piattaforma

Priorità

Disponibilità

 

Adobe Experience Manager (AEM) 

Cloud Service AEM (CS)
Tutte 2 Note sul rilascio

6.5.9.0 

Tutte

2

Note sulla versione AEM 6.5 Service Pack   
Nota:

I clienti in esecuzione sul Cloud Service di Adobe Experience Manager riceveranno automaticamente aggiornamenti che includono nuove funzioni, nonché correzioni di bug di sicurezza e funzionalità.  

Nota:

Per ricevere assistenza sulle versioni di AEM precedenti, gli utenti possono contattare l'Assistenza clienti Adobe.

Dettagli della vulnerabilità

Categoria della vulnerabilità

Impatto della vulnerabilità

Gravità

Punteggio base CVSS 

Codice CVE 

Vulnerabilità cross-site scripting (XSS)

(CWE-79)

Esecuzione di codice arbitrario

Importante

6.3

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:L

CVE-2021-28625

Autorizzazione impropria (CWE-285)

Rifiuto di utilizzo dell'applicazione

Moderata

3.7

CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:L

CVE-2021-28626

Server-side request forgery (SSRF)

(CWE-918)

Aggiramento della funzione di sicurezza

Importante

5,4

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:L

CVE-2021-28627

Vulnerabilità cross-site scripting (XSS)

(CWE-79)

Esecuzione di codice arbitrario

Importante

6.3

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:L

CVE-2021-28628

Aggiornamenti alle dipendenze

Dipendenza
Impatto della vulnerabilità
Versioni interessate
Apache Xerces2
Rifiuto di utilizzo dell'applicazione

AEM CS 

AEM 6.5.8.0 e versioni precedenti 

Apache Sling Controllo dell'accesso non autorizzato

AEM CS 

AEM 6.5.8.0 e versioni precedenti 

Handlebars.js
Controllo dell'accesso non autorizzato

AEM CS 

AEM 6.5.8.0 e versioni precedenti 

Uber Jar
Esecuzione di codice remoto

AEM CS 

AEM 6.5.8.0 e versioni precedenti 

jQuery
Controllo dell'accesso non autorizzato

AEM CS 

AEM 6.5.8.0 e versioni precedenti 

Eclipse Jetty
Consumo risorse incontrollato

AEM CS 

AEM 6.5.8.0 e versioni precedenti 

Ringraziamenti

Adobe desidera ringraziare SignorRossi (CVE-2021-28627) per aver segnalato questo problema e per aver collaborato con Adobe alla protezione dei clienti.  

Revisioni

15 giugno 2021: Vettore CVSS aggiornato per  CVE-2021-28626.


Per ulteriori informazioni, visitare il sito https://helpx.adobe.com/security.html o inviare un'e-mail a PSIRT@adobe.com.

 Adobe

Ottieni supporto in modo più facile e veloce

Nuovo utente?