Bulletin-ID
Sist oppdatert
18. jan. 2022
Sikkerhetsoppdateringer tilgjengelig for Adobe Experience Manager | APSB21-103
|
|
Dato publisert |
Prioritet |
|---|---|---|
|
APSB21-103 |
14. desember 2021 |
2 |
Sammendrag
Berørte produktversjoner
| Produkt | Versjon | Plattform |
|---|---|---|
Adobe Experience Manager (AEM) |
AEM Cloud Service (CS) |
Alle |
| 6.5.10.0 og tidligere versjoner |
Alle |
Løsning
Adobe kategoriserer disse oppdateringene med følgende prioritetsklassifiseringer og anbefaler at brukerne oppdaterer installasjonen til den nyeste versjonen:
Produkt |
Versjon |
Plattform |
Prioritet |
Tilgjengelighet |
|---|---|---|---|---|
Adobe Experience Manager (AEM) |
AEM Cloud Service (CS) |
Alle | 2 | Utgivelsesmerknader |
6.5.11.0 |
Alle |
2 |
Produktmerknad for AEM 6.5 Service Pack |
Merk:
Kunder som kjører på Cloud Experience-tjenesten til Adobe Experience Manager, mottar automatisk oppdateringer som inkluderer nye funksjoner, samt sikkerhets- og funksjonalitetsfeilrettinger.
Merk:
Kontakt Adobe customer care for assistanse med AEM-versjonene 6.4, 6.3 og 6.2.
Informasjon om sikkerhetsproblemet
|
Sikkerhetsproblemkategori |
Sikkerhetsprobleminnvirkning |
Alvorlighetsgrad |
CVSS-grunnscore |
CVE-nummer |
|
|---|---|---|---|---|---|
|
Skripting på tvers av nettsteder (XSS) (CWE-79) |
Kjøring av vilkårlig kode |
Kritisk |
8.0 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H |
CVE-2021-43761 |
|
Feil begrensning av referanse til ekstern XML-enhet (XXE) (CWE-611) |
Vilkårlig kjøring av kode |
Kritisk |
9.8 |
CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
CVE-2021-40722 |
|
Feil inndatavalidering (CWE-20) |
Omgåelse av sikkerhetsfunksjon |
Viktig |
6.5 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N |
CVE-2021-43762 |
|
Skripting på tvers av nettsteder (XSS) (CWE-79) |
Kjøring av vilkårlig kode |
Kritisk |
8.0 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H |
CVE-2021-43764 |
|
Skripting på tvers av nettsteder (lagret XSS) (CWE-79) |
Kjøring av vilkårlig kode |
Kritisk |
8.1 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:N |
|
|
Skripting på tvers av nettsteder (lagret XSS) (CWE-79) |
Kjøring av vilkårlig kode |
Kritisk |
8.1 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:N |
CVE-2021-44176 |
|
Skripting på tvers av nettsteder (lagret XSS) (CWE-79) |
Kjøring av vilkårlig kode |
Kritisk |
8.1 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:N |
CVE-2021-44177 |
|
Skripting på tvers av nettsteder (Reflektert XSS) (CWE-79) |
Kjøring av vilkårlig kode |
Viktig |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:N |
CVE-2021-44178 |
Oppdateringer av avhengigheter
| Avhengighet |
Sikkerhetsprobleminnvirkning |
Berørte versjoner |
| xmlgraphics |
Eskalering av rettigheter | AEM CS AEM 6.5.9.0 og tidligere |
| ionetty |
Eskalering av rettigheter |
AEM CS AEM 6.5.9.0 og tidligere |
Bekreftelser
Adobe takker følgende for at de rapporterte disse problemene, og for at de samarbeider med Adobe for å hjelpe oss med å beskytte våre kunder:
BASF – CVE-2021-44178, CVE-2021-44177, CVE-2021-44176, CVE-2021-43765, CVE-2021-43764
- Lorenzo Pirondini (Netcentric, en digital bedrift fra Cognizant) – CVE-2021-43762
- Hmm. Azinar Ismail and Adi Satriadharma – CVE-2021-40722
Revisjoner
14. desember 2021: Oppdatert bekreftelse for CVE-2021-43762
16. desember 2021: Prioritetsnivå for bulletin korrigert til 2
29. desember 2021: Vi har oppdatert bekreftelse for CVE-2021-40722
For mer informasjon kan du besøke https://helpx.adobe.com/no/security.html eller sende e-post til PSIRT@adobe.com.
