Adobe – sikkerhetsbulletin

Sikkerhetsoppdateringer tilgjengelig for Adobe Experience Manager | APSB21-103

Bulletin-ID

Dato publisert

Prioritet

APSB21-103

14. desember 2021 

2

Sammendrag

Adobe har lansert oppdateringer for Adobe Experience Manager (AEM). Disse oppdateringene løser sårbarheter klassifisert som kritiske og viktige. Vellykket utnyttelse av disse sårbarhetene kan føre til kjøring av vilkårlig kode og omgåelse av sikkerhetsfunksjoner.

Berørte produktversjoner

Produkt Versjon Plattform

 

Adobe Experience Manager (AEM)

AEM Cloud Service (CS)
Alle
6.5.10.0 og tidligere versjoner 
Alle

Løsning

Adobe kategoriserer disse oppdateringene med følgende prioritetsklassifiseringer og anbefaler at brukerne oppdaterer installasjonen til den nyeste versjonen:

Produkt

Versjon

Plattform

Prioritet

Tilgjengelighet

 

Adobe Experience Manager  (AEM) 

AEM Cloud Service (CS)
Alle 2 Utgivelsesmerknader

6.5.11.0 

Alle

2

Produktmerknad for AEM 6.5 Service Pack 
Merk:

Kunder som kjører på Cloud Experience-tjenesten til Adobe Experience Manager, mottar automatisk oppdateringer som inkluderer nye funksjoner, samt sikkerhets- og funksjonalitetsfeilrettinger.  

Merk:

Kontakt Adobe customer care for assistanse med AEM-versjonene 6.4, 6.3 og 6.2.

Informasjon om sikkerhetsproblemet

Sikkerhetsproblemkategori

Sikkerhetsprobleminnvirkning

Alvorlighetsgrad

CVSS-grunnscore 

CVE-nummer 

Skripting på tvers av nettsteder (XSS)

(CWE-79)

Kjøring av vilkårlig kode

Kritisk

8.0

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H

CVE-2021-43761

Feil begrensning av referanse til ekstern XML-enhet (XXE) (CWE-611)

Vilkårlig kjøring av kode

Kritisk

9.8

CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

CVE-2021-40722

Feil inndatavalidering (CWE-20)

Omgåelse av sikkerhetsfunksjon

Viktig

6.5

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N

CVE-2021-43762

Skripting på tvers av nettsteder (XSS)

(CWE-79)

Kjøring av vilkårlig kode

Kritisk

8.0

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H

CVE-2021-43764

Skripting på tvers av nettsteder (lagret XSS) (CWE-79)

Kjøring av vilkårlig kode

Kritisk

8.1

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:N



CVE-2021-43765

Skripting på tvers av nettsteder (lagret XSS) (CWE-79)

Kjøring av vilkårlig kode

Kritisk

8.1

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:N

CVE-2021-44176

Skripting på tvers av nettsteder (lagret XSS) (CWE-79)

Kjøring av vilkårlig kode

Kritisk

8.1

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:N

CVE-2021-44177

Skripting på tvers av nettsteder (Reflektert XSS) (CWE-79)

Kjøring av vilkårlig kode

Viktig

5.4

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:N

CVE-2021-44178

Oppdateringer av avhengigheter

Avhengighet
Sikkerhetsprobleminnvirkning
Berørte versjoner
xmlgraphics
Eskalering av rettigheter

AEM CS  

AEM 6.5.9.0 og tidligere

ionetty
Eskalering av rettigheter

AEM CS  

AEM 6.5.9.0 og tidligere

Bekreftelser

Adobe takker følgende for at de rapporterte disse problemene, og for at de samarbeider med Adobe for å hjelpe oss med å beskytte våre kunder: 

  • BASF – CVE-2021-44178, CVE-2021-44177, CVE-2021-44176, CVE-2021-43765, CVE-2021-43764



 

Revisjoner

14. desember 2021: Oppdatert bekreftelse for CVE-2021-43762

16. desember 2021: Prioritetsnivå for bulletin korrigert til 2

29. desember 2021: Vi har oppdatert bekreftelse for CVE-2021-40722


For mer informasjon kan du besøke https://helpx.adobe.com/no/security.html eller sende e-post til PSIRT@adobe.com.

 Adobe

Få hjelp raskere og enklere

Ny bruker?