Bulletin-ID
Sicherheits-Updates für Adobe Experience Manager verfügbar | APSB21-39
|
Veröffentlichungsdatum |
Priorität |
---|---|---|
APSB21-39 |
08. Juni 2021 |
2 |
Zusammenfassung
Betroffene Produktversionen
Produkt | Version | Plattform |
---|---|---|
Adobe Experience Manager (AEM) |
AEM Cloud Service (CS) |
Alle |
6.5.8.0 und frühere Versionen |
Alle |
Lösung
Adobe empfiehlt allen Anwendern die Installation der neuesten Version und stuft die Priorität dieser Updates wie folgt ein:
Produkt |
Version |
Plattform |
Priorität |
Verfügbarkeit |
---|---|---|---|---|
Adobe Experience Manager (AEM) |
AEM Cloud Service (CS) |
Alle | 2 | Versionshinweise |
6.5.9.0 |
Alle |
2 |
AEM 6.5 Service Pack – Versionshinweise |
Kunden, die den Cloud Service von Adobe Experience Manager nutzen, erhalten automatisch Updates mit neuen Funktionen sowie Fehlerbehebungen für Sicherheit und Funktionalität.
Bitte wenden Sie sich für Hilfe mit den AEM-Versionen 6.3 und 6.2 an die Adobe Kundenunterstützung.
Sicherheitslückendetails
Sicherheitslückenkategorie |
Sicherheitslückenauswirkung |
Problemstufe |
CVSS-Basispunktzahl |
CVE-Nummer |
|
---|---|---|---|---|---|
Cross-Site-Scripting (XSS) (CWE-79) |
Willkürliche Ausführung von Code |
Wichtig |
6.3 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:L |
CVE-2021-28625 |
Unzulässige Autorisierung (CWE-285) |
Denial-of-Service-Angriff auf Anwendungsebene |
Mittel |
3.7 |
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:L |
CVE-2021-28626 |
Server-Side Request Forgery (SSRF) (CWE-918) |
Umgehung der Sicherheitsfunktionen |
Wichtig |
5,4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:L |
CVE-2021-28627 |
Cross-Site-Scripting (XSS) (CWE-79) |
Willkürliche Ausführung von Code |
Wichtig |
6.3 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:L |
CVE-2021-28628 |
Updates für Abhängigkeiten
Abhängigkeit |
Sicherheitslückenauswirkung |
Betroffene Versionen |
Apache Xerces2 |
Denial-of-Service-Angriff auf Anwendungsebene |
AEM CS AEM 6.5.8.0 und früher |
Apache Sling | Unzureichende Zugriffskontrolle | AEM CS AEM 6.5.8.0 und früher |
Handlebars.js |
Unzureichende Zugriffskontrolle | AEM CS AEM 6.5.8.0 und früher |
Uber Jar |
Ausführung von externem Code | AEM CS AEM 6.5.8.0 und früher |
jQuery |
Unzureichende Zugriffskontrolle |
AEM CS AEM 6.5.8.0 und früher |
Eclipse Jetty |
Nicht kontrollierter Ressourcenverbrauch | AEM CS AEM 6.5.8.0 und früher |
Danksagung
Adobe bedankt sich bei SignorRossi (CVE-2021-28627) für das Melden dieser Schwachstelle und den Beitrag zum Schutz der Sicherheit unserer Kunden.
Überarbeitungen
15. Juni 2021: Aktualisierter CVSS-Vektor für CVE-2021-28626.
Weitere Informationen erhalten Sie unter https://helpx.adobe.com/de/security.html oder per E-Mail an PSIRT@adobe.com.