Boletín de seguridad de Adobe

Actualizaciones de seguridad disponibles para Adobe Experience Manager | APSB21-82

ID del boletín

Fecha de publicación

Prioridad

APSB21-82

14 de septiembre de 2021

2

Resumen

Adobe ha publicado actualizaciones para Adobe Experience Manager (AEM). Estas actualizaciones solucionan vulnerabilidades clasificadas como críticas e importantes.  La explotación de estas vulnerabilidades podría resultar en la ejecución de código arbitrario. 

Versión afectada del producto

Producto Versión Plataforma

 

Adobe Experience Manager (AEM)

AEM Cloud Service (CS)
Todas
6.5.9.0 y versiones anteriores 
Todas

Solución

Adobe categoriza estas actualizaciones de acuerdo con los siguientes niveles de prioridad y recomienda que los usuarios actualicen los programas a las versiones más recientes:

Producto

Versión

Plataforma

Prioridad

Disponibilidad

 

Adobe Experience Manager  (AEM) 

AEM Cloud Service (CS)
Todas 2 Notas de la versión

6.5.10.0 

Todas

2

Notas de la versión de AEM 6.5 Service Pack   
Nota:

Los clientes que ejecuten en Cloud Service de Adobe Experience Manager recibirán actualizaciones automáticamente con nuevas funciones, así como correcciones de errores de seguridad y funcionalidad.  

Nota:

Póngase en contacto con el servicio de atención al cliente de Adobe para obtener ayuda relacionada con AEM 6.4, 6.3 y 6.2.

Detalles sobre la vulnerabilidad

Categoría de vulnerabilidad

Impacto de la vulnerabilidad

Gravedad

Puntuación base CVSS 

Número CVE 

Secuencias de comandos en sitios cruzados (XSS)

(CWE-79)

Ejecución de código arbitraria

Importante

6.3

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:L/A:N

CVE-2021-40711

Validación incorrecta de la entrada (CWE-20)

Denegación de servicio de la aplicación

Importante

6.5

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H

CVE-2021-40712

Validación de certificado incorrecta (CWE-295)

Omisión de la función de seguridad

Importante

5.9

CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N

CVE-2021-40713

Secuencias de comandos en sitios cruzados (XSS)

(CWE-79)

Ejecución de código arbitraria

Importante

6.4

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:N

CVE-2021-40714

Control de acceso incorrecto (CWE-284)

Omisión de la función de seguridad

Importante

5.3

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N


CVE-2021-42725

Actualizaciones de dependencias

Dependencia
Impacto de la vulnerabilidad
Versiones afectadas
Iodash
Ejecución de código arbitraria

AEM CS  

AEM 6.5.9.0 y versiones anteriores

Apache Sling Path traversal

AEM CS  

AEM 6.5.9.0 y versiones anteriores

Jetty
Denegación de servicio

AEM CS  

AEM 6.5.9.0 y versiones anteriores

Jackson-Databind
Asignación sin marcar del búfer de bytes

AEM CS   

AEM 6.5.9.0 y versiones anteriores

Reconocimientos

Adobe desea agradecer a Lorenzo Pirondini (Netcentric, una empresa digital de Cognizant) (CVE-2021-40711, CVE-2021-40712) y Eckbert Andresen (CVE-2021-42725) por informar sobre estos problemas y colaborar con Adobe para proteger a nuestros clientes.

Revisiones

27 de septiembre de 2021: se actualizaron los agradecimientos para CVE-2021-40711 y CVE-2021-40712.

4 de octubre de 2021: se actualizó la puntuación base, el vector y la gravedad de CVSS para CVE-2021-40711.

28 de octubre de 2021: Se añadió información a CVE-2021-42725.


Para obtener más información, visite https://helpx.adobe.com/es/security.html o envíe un correo electrónico a la dirección PSIRT@adobe.com.

 Adobe

Obtén ayuda de forma más rápida y sencilla

¿Nuevo usuario?

Adobe MAX 2024

Adobe MAX
La conferencia de creatividad

Del 14 al 16 de octubre en Miami Beach y en línea

Adobe MAX

La conferencia de creatividad

Del 14 al 16 de octubre en Miami Beach y en línea

Adobe MAX 2024

Adobe MAX
La conferencia de creatividad

Del 14 al 16 de octubre en Miami Beach y en línea

Adobe MAX

La conferencia de creatividad

Del 14 al 16 de octubre en Miami Beach y en línea