ID del boletín
Última actualización el
5 nov. 2021
Actualizaciones de seguridad disponibles para Adobe Experience Manager | APSB21-82
|
|
Fecha de publicación |
Prioridad |
|---|---|---|
|
APSB21-82 |
14 de septiembre de 2021 |
2 |
Resumen
Adobe ha publicado actualizaciones para Adobe Experience Manager (AEM). Estas actualizaciones solucionan vulnerabilidades clasificadas como críticas e importantes. La explotación de estas vulnerabilidades podría resultar en la ejecución de código arbitrario.
Versión afectada del producto
| Producto | Versión | Plataforma |
|---|---|---|
Adobe Experience Manager (AEM) |
AEM Cloud Service (CS) |
Todas |
| 6.5.9.0 y versiones anteriores |
Todas |
Solución
Adobe categoriza estas actualizaciones de acuerdo con los siguientes niveles de prioridad y recomienda que los usuarios actualicen los programas a las versiones más recientes:
Producto |
Versión |
Plataforma |
Prioridad |
Disponibilidad |
|---|---|---|---|---|
Adobe Experience Manager (AEM) |
AEM Cloud Service (CS) |
Todas | 2 | Notas de la versión |
6.5.10.0 |
Todas |
2 |
Notas de la versión de AEM 6.5 Service Pack |
Nota:
Los clientes que ejecuten en Cloud Service de Adobe Experience Manager recibirán actualizaciones automáticamente con nuevas funciones, así como correcciones de errores de seguridad y funcionalidad.
Nota:
Póngase en contacto con el servicio de atención al cliente de Adobe para obtener ayuda relacionada con AEM 6.4, 6.3 y 6.2.
Detalles sobre la vulnerabilidad
|
Categoría de vulnerabilidad |
Impacto de la vulnerabilidad |
Gravedad |
Puntuación base CVSS |
Número CVE |
|
|---|---|---|---|---|---|
|
Secuencias de comandos en sitios cruzados (XSS) (CWE-79) |
Ejecución de código arbitraria |
Importante |
6.3 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:L/A:N |
CVE-2021-40711 |
|
Validación incorrecta de la entrada (CWE-20) |
Denegación de servicio de la aplicación |
Importante |
6.5 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H |
CVE-2021-40712 |
|
Validación de certificado incorrecta (CWE-295) |
Omisión de la función de seguridad |
Importante |
5.9 |
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N |
CVE-2021-40713 |
|
Secuencias de comandos en sitios cruzados (XSS) (CWE-79) |
Ejecución de código arbitraria |
Importante |
6.4 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:N |
CVE-2021-40714 |
|
Control de acceso incorrecto (CWE-284) |
Omisión de la función de seguridad |
Importante |
5.3 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N |
|
Actualizaciones de dependencias
| Dependencia |
Impacto de la vulnerabilidad |
Versiones afectadas |
| Iodash |
Ejecución de código arbitraria |
AEM CS AEM 6.5.9.0 y versiones anteriores |
| Apache Sling | Path traversal | AEM CS AEM 6.5.9.0 y versiones anteriores |
| Jetty |
Denegación de servicio |
AEM CS AEM 6.5.9.0 y versiones anteriores |
| Jackson-Databind |
Asignación sin marcar del búfer de bytes |
AEM CS AEM 6.5.9.0 y versiones anteriores |
Reconocimientos
Adobe desea agradecer a Lorenzo Pirondini (Netcentric, una empresa digital de Cognizant) (CVE-2021-40711, CVE-2021-40712) y Eckbert Andresen (CVE-2021-42725) por informar sobre estos problemas y colaborar con Adobe para proteger a nuestros clientes.
Revisiones
27 de septiembre de 2021: se actualizaron los agradecimientos para CVE-2021-40711 y CVE-2021-40712.
4 de octubre de 2021: se actualizó la puntuación base, el vector y la gravedad de CVSS para CVE-2021-40711.
28 de octubre de 2021: Se añadió información a CVE-2021-42725.
Para obtener más información, visite https://helpx.adobe.com/es/security.html o envíe un correo electrónico a la dirección PSIRT@adobe.com.
