Bollettino sulla sicurezza di Adobe

Aggiornamenti di sicurezza disponibili per Adobe Experience Manager | APSB21-82

ID bollettino

Data di pubblicazione

Priorità

APSB21-82

14 settembre 2021 

2

Riepilogo

Adobe ha rilasciato aggiornamenti per Adobe Experience Manager (AEM). Questi aggiornamenti risolvono vulnerabilità critiche e importanti. Se sfruttata, tale vulnerabilità potrebbe risultare in un'esecuzione arbitraria del codice. 

Versioni del prodotto interessate

Prodotto Versione Piattaforma

 

Adobe Experience Manager (AEM)

Cloud Service AEM (CS)
Tutte
6.5.9.0 e versioni precedenti 
Tutte

Soluzione

Adobe classifica questi aggiornamenti in base ai seguenti livelli di priorità e consiglia agli utenti interessati di aggiornare la propria installazione alla versione più recente:

Prodotto

Versione

Piattaforma

Priorità

Disponibilità

 

Adobe Experience Manager (AEM) 

Cloud Service AEM (CS)
Tutte 2 Note sul rilascio

6.5.10.0 

Tutte

2

Note sulla versione AEM 6.5 Service Pack   
Nota:

I clienti in esecuzione sul Cloud Service di Adobe Experience Manager riceveranno automaticamente aggiornamenti che includono nuove funzioni, nonché correzioni di bug di sicurezza e funzionalità.  

Nota:

Per ricevere assistenza sulle versioni di AEM 6.4, 6.3 e 6.2, gli utenti possono contattare l'Assistenza clienti Adobe.

Dettagli della vulnerabilità

Categoria della vulnerabilità

Impatto della vulnerabilità

Gravità

Punteggio base CVSS 

Codice CVE 

Vulnerabilità cross-site scripting (XSS)

(CWE-79)

Esecuzione di codice arbitrario

Importante

6.3

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:L/A:N

CVE-2021-40711

Convalida dell'input non corretta (CWE-20)

Rifiuto di utilizzo dell'applicazione

Importante

6.5

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H

CVE-2021-40712

Convalida dell'input non corretta (CWE-295)

Aggiramento della funzione di sicurezza

Importante

5.9

CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N

CVE-2021-40713

Vulnerabilità cross-site scripting (XSS)

(CWE-79)

Esecuzione di codice arbitrario

Importante

6.4

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:N

CVE-2021-40714

Controllo di accesso non corretto (CWE-284)

Aggiramento della funzione di sicurezza

Importante

5.3

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N


CVE-2021-42725

Aggiornamenti alle dipendenze

Dipendenza
Impatto della vulnerabilità
Versioni interessate
Iodash
Esecuzione di codice arbitrario

AEM CS  

AEM 6.5.9.0 e versioni precedenti 

Apache Sling Path traversal

AEM CS  

AEM 6.5.9.0 e versioni precedenti 

Jetty
Servizio negato

AEM CS  

AEM 6.5.9.0 e versioni precedenti 

Jackson-Databind
Allocazione non controllata del buffer di byte

AEM CS   

AEM 6.5.9.0 e versioni precedenti  

Ringraziamenti

Adobe desidera ringraziare Lorenzo Pirondini (Netcentric, di Cognizant Digital Business) (CVE-2021-40711, CVE-2021-40712) e Eckbert Andresen (CVE-2021-42725) per la collaborazione e per aver segnalato i problemi specifici, contribuendo così a proteggere la sicurezza dei nostri clienti:

Revisioni

27 settembre 2021: dettagli di conferma aggiornati per le vulnerabilità CVE-2021-40711 e CVE-2021-40712.

4 ottobre 2021: punteggio di base CVSS, vettore e gravità aggiornati per CVE-2021-40711.

28 ottobre 2021: sono stati aggiunti dettagli per CVE-2021-42725.


Per ulteriori informazioni, visitare il sito https://helpx.adobe.com/it/security.html o inviare un'e-mail a PSIRT@adobe.com.

 Adobe

Ottieni supporto in modo più facile e veloce

Nuovo utente?

Adobe MAX 2024

Adobe MAX
La conferenza sulla creatività

14-16 ottobre Miami Beach e online

Adobe MAX

La conferenza sulla creatività

14-16 ottobre Miami Beach e online

Adobe MAX 2024

Adobe MAX
La conferenza sulla creatività

14-16 ottobre Miami Beach e online

Adobe MAX

La conferenza sulla creatività

14-16 ottobre Miami Beach e online