Bulletin-ID
Sist oppdatert
16. jun. 2021
Sikkerhetsoppdateringer tilgjengelig for Adobe Experience Manager | APSB21-39
|
|
Dato publisert |
Prioritet |
|---|---|---|
|
APSB21-39 |
08. juni 2021 |
2 |
Sammendrag
Berørte produktversjoner
| Produkt | Versjon | Plattform |
|---|---|---|
Adobe Experience Manager (AEM) |
AEM Cloud Service (CS) |
Alle |
| 6.5.8.0 og tidligere versjoner |
Alle |
Løsning
Adobe kategoriserer disse oppdateringene med følgende prioritetsklassifiseringer og anbefaler at brukerne oppdaterer installasjonen til den nyeste versjonen:
Produkt |
Versjon |
Plattform |
Prioritet |
Tilgjengelighet |
|---|---|---|---|---|
Adobe Experience Manager (AEM) |
AEM Cloud Service (CS) |
Alle | 2 | Utgivelsesmerknader |
6.5.9.0 |
Alle |
2 |
Produktmerknad for AEM 6.5 Service Pack |
Merk:
Kunder som kjører på Cloud Experience-tjenesten til Adobe Experience Manager, mottar automatisk oppdateringer som inkluderer nye funksjoner, samt sikkerhets- og funksjonalitetsfeilrettinger.
Merk:
Kontakt Adobe customer care for assistanse med AEM-versjonene 6.3 og 6.2.
Informasjon om sikkerhetsproblemet
|
Sikkerhetsproblemkategori |
Sikkerhetsprobleminnvirkning |
Alvorlighetsgrad |
CVSS grunnleggende poengsum |
CVE-nummer |
|
|---|---|---|---|---|---|
|
Skripting på tvers av nettsteder (XSS) (CWE-79) |
Vilkårlig kjøring av kode |
Viktig |
6.3 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:L |
CVE-2021-28625 |
|
Upassende autorisasjon (CWE-285) |
Program, tjenestenekt |
Moderat |
3.7 |
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:L |
CVE-2021-28626 |
|
Forfalskning av forespørsler på serversiden (Server-Side Request Forgery=SSRF) (CWE-918) |
Omgåelse av sikkerhetsfunksjon |
Viktig |
5,4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:L |
CVE-2021-28627 |
|
Skripting på tvers av nettsteder (XSS) (CWE-79) |
Vilkårlig kjøring av kode |
Viktig |
6.3 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:L |
CVE-2021-28628 |
Oppdateringer av avhengigheter
| Avhengighet |
Sikkerhetsprobleminnvirkning |
Berørte versjoner |
| Apache Xerces2 |
Program, tjenestenekt |
AEM CS AEM 6.5.8.0 og tidligere |
| Apache Sling | Upassende tilgangskontroll | AEM CS AEM 6.5.8.0 og tidligere |
| Handlebars.js |
Upassende tilgangskontroll | AEM CS AEM 6.5.8.0 og tidligere |
| Uber Jar |
Ekstern kjøring av kode | AEM CS AEM 6.5.8.0 og tidligere |
| jQuery |
Upassende tilgangskontroll |
AEM CS AEM 6.5.8.0 og tidligere |
| Eclipse Jetty |
Ukontrollert kildeforbruk | AEM CS AEM 6.5.8.0 og tidligere |
Takk
Adobe takker SignorRossi (CVE-2021-28627) for at han rapporterte dette problemet, og for at han samarbeider med Adobe Systems for å hjelpe oss med å beskytte kundene våre.
Revisjoner
15. juni 2021: Oppdatert CVSS-vektor for CVE-2021-28626.
For mer informasjon kan du besøke https://helpx.adobe.com/security.html eller sende e-post til PSIRT@adobe.com.
