Bulletin de sécurité Adobe

Mises à jour de sécurité disponibles pour Adobe Experience Manager | APSB21-15

Référence du bulletin

Date de publication

Priorité 

APSB21-15

11 mai 2021 

2

Récapitulatif

Adobe a publié des mises à jour pour Adobe Experience Manager (AEM). Ces mises à jour corrigent des vulnérabilités jugées critiques et importantes. L’exploitation réussie de ces vulnérabilités pourrait entraîner l’exécution arbitraire de code JavaScript dans le navigateur.

Versions concernées

Produit Version  Plate-forme

 

Adobe Experience Manager (AEM)

AEM Cloud Service (CS)
Toutes
versions 6.5.7.0 et antérieures 
Toutes
6.4.8.3 et versions antérieures 
Toutes 
6.3.3.8 et versions antérieures
Toutes 

Solution

Adobe attribue à ces mises à jour les priorités suivantes et recommande aux utilisateurs concernés de mettre à jour leurs installations avec les dernières versions des logiciels :

Produit

Version 

Plate-forme

Priorité 

Disponibilité

 

Adobe Experience Manager (AEM) 

AEM Cloud Service (CS)
Toutes 2 Notes de mise à jour

6.5.8.0 

Toutes

2

Notes de mise à jour Service Pack pour AEM 6.5

6.4.8.4 

Toutes

2

Notes de mise à jour Pack cumulatif de correctifs pour AEM 6.4  

Remarque :

Les clients qui utilisent Cloud Service d’Adobe Experience Manager recevront automatiquement des mises à jour incluant de nouvelles options, ainsi que des correctifs de bogues de sécurité et de fonctionnalité.  

Remarque :

Le pack cumulatif de correctifs 6.4.8.4 pour AEM représente une mise à jour importante qui comprend plusieurs corrections internes et clients depuis le lancement d’AEM 6.4 Service Pack 8 (6.4.8.0) en mars 2020.

Remarque :

Veuillez contacter l’Assistance clientèle d’Adobe pour obtenir de l’aide sur les versions 6.2 et 6.3 d’AEM.

Détails concernant la vulnérabilité

Catégorie de la vulnérabilité

Impact de la vulnérabilité

Gravité

Référence CVE 

Versions concernées

Contrôle d’accès incorrect

Déni de service d’application

Importante

CVE-2021-21083

AEM CS 

AEM 6.5.7.0 et versions antérieures 

AEM 6.4.8.3 et versions antérieures 

AEM 6.3.3.8 et versions antérieures

Cross-site scripting (XSS stocké)

Exécution arbitraire de code JavaScript dans le navigateur

Critique

CVE-2021-21084

AEM CS 

AEM 6.5.7.0 et versions antérieures 

AEM 6.4.8.3 et versions antérieures 

AEM 6.3.3.8 et versions antérieures 

Mises à jour des dépendances

Dépendance
Impact de la vulnérabilité
Versions concernées
Commons-io
Contrôle d’accès incorrect

AEM CS 

AEM 6.5.7.0 et versions antérieures 

AEM 6.4.8.3 et versions antérieures 

AEM 6.3.3.8 et versions antérieures 

MetadataExtractor
Consommation de ressources non contrôlée

AEM CS 

AEM 6.5.7.0 et versions antérieures 

AEM 6.4.8.3 et versions antérieures 

AEM 6.3.3.8 et versions antérieures

FasterXML Jackson Databind/Core
Exécution de code à distance

AEM CS 

AEM 6.5.7.0 et versions antérieures 

AEM 6.4.8.3 et versions antérieures 

AEM 6.3.3.8 et versions antérieures

Eclipse Jetty
Contrôle d’accès incorrect

AEM CS 

AEM 6.5.7.0 et versions antérieures 

AEM 6.4.8.3 et versions antérieures 

AEM 6.3.3.8 et versions antérieures

Lucene Queryparser
Exécution de code à distance

AEM CS 

AEM 6.5.7.0 et versions antérieures 

AEM 6.4.8.3 et versions antérieures 

AEM 6.3.3.8 et versions antérieures

Apache XML-RPC
Exécution de code arbitraire

AEM CS 

AEM 6.5.7.0 et versions antérieures 

AEM 6.4.8.3 et versions antérieures 

AEM 6.3.3.8 et versions antérieures

Zip4j
Exécution de code arbitraire

AEM CS 

AEM 6.5.7.0 et versions antérieures 

AEM 6.4.8.3 et versions antérieures 

AEM 6.3.3.8 et versions antérieures

Apache Directory LDAP API
Contrôle d’accès incorrect

AEM CS 

AEM 6.5.7.0 et versions antérieures 

AEM 6.4.8.3 et versions antérieures 

AEM 6.3.3.8 et versions antérieures

Apache Sling
Contrôle d’accès incorrect

AEM CS 

AEM 6.5.7.0 et versions antérieures 

AEM 6.4.8.3 et versions antérieures 

AEM 6.3.3.8 et versions antérieures

Apache Felix
Exécution de code arbitraire

AEM CS 

AEM 6.5.7.0 et versions antérieures 

AEM 6.4.8.3 et versions antérieures 

AEM 6.3.3.8 et versions antérieures

Apache Solr
Accès en lecture/écriture incorrect

AEM CS 

AEM 6.5.7.0 et versions antérieures 

AEM 6.4.8.3 et versions antérieures 

AEM 6.3.3.8 et versions antérieures

Apache Tomcat
Contrôle d’accès incorrect

AEM CS 

AEM 6.5.7.0 et versions antérieures 

AEM 6.4.8.3 et versions antérieures 

AEM 6.3.3.8 et versions antérieures

jQuery
Exécution de code arbitraire

AEM CS 

AEM 6.5.7.0 et versions antérieures 

AEM 6.4.8.3 et versions antérieures 

AEM 6.3.3.8 et versions antérieures

Remerciements

Adobe tient à remercier Thomas Hartmann de netcentric (CVE-2021-21083) d’avoir signalé ces deux problèmes et joint ses efforts aux nôtres pour protéger nos clients. 

 Adobe

Recevez de l’aide plus rapidement et plus facilement

Nouvel utilisateur ?