Adobe セキュリティ速報

Adobe Experience Manager に関するセキュリティアップデート公開 | APSB21-103

情報 ID

公開日

優先度

APSB21-103

2021 年 12 月 14 日

2

要約

Adobe Experience Manager (AEM)を対象としたアップデートが公開されました。これらのアップデートは、クリティカルおよび重要に分類される脆弱性を解決します。これらの脆弱性が悪用されると、任意のコード実行、セキュリティ機能のバイパスが発生する恐れがあります。

対象の製品バージョン

製品名 バージョン プラットフォーム

 

Adobe Experience Manager (AEM)

AEM Cloud Service (CS)
すべて
6.5.10.0 以前のバージョン 
すべて

解決策

アドビは、これらのアップデートを次の優先度評価に分類しており、対象製品をご利用のお客様に最新バージョンへのアップグレードを推奨します。

製品名

バージョン

プラットフォーム

優先度

入手方法

 

Adobe Experience Manager (AEM) 

AEM Cloud Service (CS)
すべて 2 リリースノート

6.5.11.0 

すべて

2

AEM 6.5 Service Pack リリースノート  
注意:

Adobe Experience Manager の Cloud Service をご利用のお客様には、新機能のほか、セキュリティや機能性のバグ修正を含むアップデートが自動的に配信されます。

注意:

AEM バージョン 6.4、6.3 および 6.2 のサポートについては、アドビカスタマケアにお問い合わせください。

脆弱性に関する詳細

脆弱性のカテゴリー

脆弱性の影響

深刻度

CVSS 基本スコア 

CVE 番号 

クロスサイトスクリプティング(XSS)

CWE-79

任意のコード実行

クリティカル

8.0

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H

CVE-2021-43761

XML 外部エンティティ参照('XXE')の不適切な制限(CWE-611

任意のコード実行

クリティカル

9.8

CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

CVE-2021-40722

不適切な入力検証(CWE-20)

セキュリティ機能のバイパス

重要

6.5

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N

CVE-2021-43762

クロスサイトスクリプティング(XSS)

CWE-79

任意のコード実行

クリティカル

8.0

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H

CVE-2021-43764

クロスサイトスクリプティング (保存済み XSS) (CWE-79)

任意のコード実行

クリティカル

8.1

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:N



CVE-2021-43765

クロスサイトスクリプティング (保存済み XSS) (CWE-79)

任意のコード実行

クリティカル

8.1

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:N

CVE-2021-44176

クロスサイトスクリプティング (保存済み XSS) (CWE-79)

任意のコード実行

クリティカル

8.1

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:N

CVE-2021-44177

クロスサイトスクリプティング (Reflected XSS) (CWE-79)

任意のコード実行

重要

5.4

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:N

CVE-2021-44178

依存関係の更新

依存関係
脆弱性の影響
対象のバージョン
xmlgraphics
権限昇格

AEM CS  

AEM 6.5.9.0 以前 

ionetty
権限昇格

AEM CS  

AEM 6.5.9.0 以前 

謝辞

一連の問題を報告し、ユーザーの保護にご協力いただいた以下の皆様に対し、アドビより厚く御礼を申し上げます。 

  • BASF - CVE-2021-44178、CVE-2021-44177、CVE-2021-44176、CVE-2021-43765、CVE-2021-43764



 

更新履歴

2021 年 12 月 14 日:CVE-2021-43762 の謝辞を更新しました

2021 年 12 月 16 日:情報の優先度を 2 に修正しました

2021 年 12 月 29 日:CVE-2021-40722 に対する謝辞を更新


詳しくは、https://helpx.adobe.com/jp/security.html を参照するか、PSIRT@adobe.com 宛てに電子メールでお問い合わせください。

 Adobe

ヘルプをすばやく簡単に入手

新規ユーザーの場合