Bulletin-id
Laatst bijgewerkt op
18 jan. 2022
Beveiligingsupdates beschikbaar voor Adobe Experience Manager | APSB21-103
|
|
Publicatiedatum |
Prioriteit |
|---|---|---|
|
APSB21-103 |
14 december 2021 |
2 |
Samenvatting
Adobe heeft updates uitgebracht voor Adobe Experience Manager (AEM). Deze updates verhelpen kritieke en belangrijke kwetsbaarheden. Misbruik van deze kwetsbaarheden kan leiden tot uitvoering willekeurige code en het omzeilen van beveiligingsfuncties.
Van toepassing op de volgende productversies
| Product | Versie | Platform |
|---|---|---|
Adobe Experience Manager (AEM) |
AEM Cloud Service (CS) |
Alles |
| 6.5.10.0 en eerdere versies |
Alles |
Oplossing
Adobe heeft aan deze updates de volgende prioriteit toegekend en raadt gebruikers aan hun installatie bij te werken naar de recentste versies:
Product |
Versie |
Platform |
Prioriteit |
Beschikbaarheid |
|---|---|---|---|---|
Adobe Experience Manager (AEM) |
AEM Cloud Service (CS) |
Alles | 2 | Releaseopmerkingen |
6.5.11.0 |
Alles |
2 |
Release-opmerkingen bij AEM 6.5-servicepakket |
Opmerking:
Klanten die op Adobe Experience Manager's Cloud Service draaien, ontvangen automatisch updates die nieuwe functies bevatten, evenals bugfixes voor beveiliging en functionaliteit.
Opmerking:
Neem contact op met de klantenservice van Adobe voor hulp bij versie 6.4, 6.3 en 6.2 van AEM.
Details van kwetsbaarheid
|
Categorie van kwetsbaarheid |
Impact van kwetsbaarheid |
Ernst |
CVSS-basisscore |
CVE-nummer |
|
|---|---|---|---|---|---|
|
Scripts die verwijzen naar andere sites (XSS) (CWE-79) |
Uitvoering van willekeurige code |
Kritiek |
8.0 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H |
CVE-2021-43761 |
|
Onjuiste beperking van XML Externe entiteitsreferentie ('XXE') (CWE-611) |
Uitvoering van willekeurige code |
Kritiek |
9.8 |
CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
CVE-2021-40722 |
|
Onjuiste invoervalidatie (CWE-20) |
Omzeiling van beveiligingsfunctie |
Belangrijk |
6.5 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N |
CVE-2021-43762 |
|
Scripts die verwijzen naar andere sites (XSS) (CWE-79) |
Uitvoering van willekeurige code |
Kritiek |
8.0 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H |
CVE-2021-43764 |
|
Cross-site scripting (opgeslagen XSS) (CWE-79) |
Uitvoering van willekeurige code |
Kritiek |
8.1 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:N |
|
|
Cross-site scripting (opgeslagen XSS) (CWE-79) |
Uitvoering van willekeurige code |
Kritiek |
8.1 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:N |
CVE-2021-44176 |
|
Cross-site scripting (opgeslagen XSS) (CWE-79) |
Uitvoering van willekeurige code |
Kritiek |
8.1 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:N |
CVE-2021-44177 |
|
Cross-site Scripting (gereflecteerde XSS) (CWE-79) |
Uitvoering van willekeurige code |
Belangrijk |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:N |
CVE-2021-44178 |
Updates voor afhankelijkheden
| Afhankelijkheid |
Impact van kwetsbaarheid |
Van toepassing op de volgende versies |
| xmlgraphics |
Verhoging van rechten | AEM CS AEM 6.5.9.0 en eerdere versies |
| ionetty |
Verhoging van rechten |
AEM CS AEM 6.5.9.0 en eerdere versies |
Dankbetuigingen
Adobe bedankt de volgende personen voor het melden van deze problemen en voor de samenwerking met Adobe om onze klanten te helpen beschermen:
BASF - CVE-2021-44178, CVE-2021-44177, CVE-2021-44176, CVE-2021-43765, CVE-2021-43764
- Lorenzo Pirondini (Netcentric, een Cognizant Digital Business) - CVE-2021-43762
- Muh. Azinar Ismail en Adi Satriadharma - CVE-2021-40722
Revisies
14 december 2021: Bijgewerkte bevestiging voor CVE-2021-43762
16 december 2021: prioriteitsniveau van bulletin gecorrigeerd naar 2
29 december 2021: Bijgewerkte dankbetuiging voor CVE-2021-40722
Ga voor meer informatie naar https://helpx.adobe.com/nl/security.html of stuur een e-mail naar PSIRT@adobe.com.
