Boletín de seguridad de Adobe

Actualizaciones de seguridad disponibles para Adobe Experience Manager | APSB21-15

ID del boletín

Fecha de publicación

Prioridad

APSB21-15

11 de mayo de 2021 

2

Resumen

Adobe ha publicado actualizaciones para Adobe Experience Manager (AEM). Estas actualizaciones solucionan vulnerabilidades clasificadas como críticas e importantes. La explotación de estas vulnerabilidades podría resultar en la ejecución arbitraria de JavaScript en el navegador.

Versión afectada del producto

Producto Versión Plataforma

 

Adobe Experience Manager (AEM)

AEM Cloud Service (CS)
Todas
6.5.7.0 y versiones anteriores 
Todas
6.4.8.3 y versiones anteriores 
Todas 
6.3.3.8 y versiones anteriores
Todas 

Solución

Adobe categoriza estas actualizaciones de acuerdo con los siguientes niveles de prioridad y recomienda que los usuarios actualicen los programas a las versiones más recientes:

Producto

Versión

Plataforma

Prioridad

Disponibilidad

 

Adobe Experience Manager  (AEM) 

AEM Cloud Service (CS)
Todas 2 Notas de la versión

6.5.8.0 

Todas

2

Notas de la versión de AEM 6.5 Service Pack   

6.4.8.4

Todas

2

Notas de la versión de AEM 6.4 Cumulative Fix Pack  

Nota:

Los clientes que ejecuten en Cloud Service de Adobe Experience Manager recibirán actualizaciones automáticamente con nuevas funciones, así como correcciones de errores de seguridad y funcionalidad.  

Nota:

AEM Cumulative Fix Pack 6.4.8.4 es una actualización importante que incluye varias correcciones internas y de clientes desde la publicación de AEM 6.4 Service Pack 8 (6.4.8.0) en marzo de 2020.

Nota:

Póngase en contacto con el servicio de atención al cliente de Adobe para obtener ayuda relacionada con AEM 6.3 y 6.2.

Detalles sobre la vulnerabilidad

Categoría de vulnerabilidad

Impacto de la vulnerabilidad

Gravedad

Número CVE 

Versiones afectadas

Control de acceso incorrecto

Denegación de servicio de la aplicación

Importante

CVE-2021-21083

AEM CS 

AEM 6.5.7.0 y versiones anteriores 

AEM 6.4.8.3 y versiones anteriores 

AEM 6.3.3.8 y versiones anteriores

Ejecución de scripts en sitios cruzados (almacenados)

Ejecución de JavaScript arbitraria en el navegador

Crítico

CVE-2021-21084

AEM CS 

AEM 6.5.7.0 y versiones anteriores 

AEM 6.4.8.3 y versiones anteriores

AEM 6.3.3.8 y versiones anteriores 

Actualizaciones de dependencias

Dependencia
Impacto de la vulnerabilidad
Versiones afectadas
Commons-io
Control de acceso incorrecto

AEM CS 

AEM 6.5.7.0 y versiones anteriores 

AEM 6.4.8.3 y versiones anteriores

AEM 6.3.3.8 y versiones anteriores 

MetadataExtractor
Consumo de recursos no controlado

AEM CS 

AEM 6.5.7.0 y versiones anteriores 

AEM 6.4.8.3 y versiones anteriores 

AEM 6.3.3.8 y versiones anteriores

FasterXML Jackson Databind/Core
Ejecución de código de forma remota

AEM CS 

AEM 6.5.7.0 y versiones anteriores 

AEM 6.4.8.3 y versiones anteriores 

AEM 6.3.3.8 y versiones anteriores

Eclipse Jetty
Control de acceso incorrecto

AEM CS 

AEM 6.5.7.0 y versiones anteriores 

AEM 6.4.8.3 y versiones anteriores 

AEM 6.3.3.8 y versiones anteriores

Lucene Queryparser
Ejecución de código de forma remota

AEM CS 

AEM 6.5.7.0 y versiones anteriores 

AEM 6.4.8.3 y versiones anteriores 

AEM 6.3.3.8 y versiones anteriores

Apache XML-RPC
Ejecución arbitraria de código

AEM CS 

AEM 6.5.7.0 y versiones anteriores 

AEM 6.4.8.3 y versiones anteriores 

AEM 6.3.3.8 y versiones anteriores

Zip4j
Ejecución arbitraria de código

AEM CS 

AEM 6.5.7.0 y versiones anteriores 

AEM 6.4.8.3 y versiones anteriores 

AEM 6.3.3.8 y versiones anteriores

Apache Directory LDAP API
Control de acceso incorrecto

AEM CS 

AEM 6.5.7.0 y versiones anteriores 

AEM 6.4.8.3 y versiones anteriores 

AEM 6.3.3.8 y versiones anteriores

Apache Sling
Control de acceso incorrecto

AEM CS 

AEM 6.5.7.0 y versiones anteriores 

AEM 6.4.8.3 y versiones anteriores 

AEM 6.3.3.8 y versiones anteriores

Apache Felix
Ejecución arbitraria de código

AEM CS 

AEM 6.5.7.0 y versiones anteriores 

AEM 6.4.8.3 y versiones anteriores 

AEM 6.3.3.8 y versiones anteriores

Apache Solr
Acceso de lectura y escritura incorrecto

AEM CS 

AEM 6.5.7.0 y versiones anteriores 

AEM 6.4.8.3 y versiones anteriores 

AEM 6.3.3.8 y versiones anteriores

Apache Tomcat
Control de acceso incorrecto

AEM CS 

AEM 6.5.7.0 y versiones anteriores 

AEM 6.4.8.3 y versiones anteriores 

AEM 6.3.3.8 y versiones anteriores

jQuery
Ejecución arbitraria de código

AEM CS 

AEM 6.5.7.0 y versiones anteriores 

AEM 6.4.8.3 y versiones anteriores 

AEM 6.3.3.8 y versiones anteriores

Reconocimientos

Adobe desea dar las gracias a Thomas Hartmann de netcentric (CVE-2021-21083) por informarnos de ambos problemas y por colaborar con Adobe para ayudarnos a proteger a nuestros clientes. 

 Adobe

Obtén ayuda de forma más rápida y sencilla

¿Nuevo usuario?

Adobe MAX 2024

Adobe MAX
La conferencia de creatividad

Del 14 al 16 de octubre en Miami Beach y en línea

Adobe MAX

La conferencia de creatividad

Del 14 al 16 de octubre en Miami Beach y en línea

Adobe MAX 2024

Adobe MAX
La conferencia de creatividad

Del 14 al 16 de octubre en Miami Beach y en línea

Adobe MAX

La conferencia de creatividad

Del 14 al 16 de octubre en Miami Beach y en línea