Biuletyn dotyczący zabezpieczeń firmy Adobe

Dostępne aktualizacje zabezpieczeń dla programu Adobe Experience Manager | APSB21-103

ID biuletynu

Data publikacji

Priorytet

APSB21-103

14 grudnia 2021 r. 

2

Podsumowanie

Firma Adobe opublikowała aktualizacje dla programu Adobe Experience Manager (AEM). Te aktualizacje usuwają luki w zabezpieczeniach ocenione jako krytyczne oraz istotne.  Udane wykorzystanie tych luk może doprowadzić do wykonania dowolnego kodu i obejścia zabezpieczeń.

Wersje produktu, których dotyczy problem

Produkt Wersja Platforma

 

Adobe Experience Manager (AEM)

AEM Cloud Service (CS)
Wszystkie
6.5.10.0 i wcześniejsze wersje 
Wszystkie

Rozwiązanie

Firma Adobe dzieli te aktualizacje na kategorie, nadając im następujące oceny ważności, oraz zaleca użytkownikom zaktualizowanie zainstalowanego oprogramowania do najnowszej wersji:

Produkt

Wersja

Platforma

Priorytet

Dostępność

 

Adobe Experience Manager  (AEM) 

AEM Cloud Service (CS)
Wszystkie 2 Uwagi na temat wersji

6.5.11.0 

Wszystkie

2

AEM 6.5 Service Pack — informacje o wersji  
Uwaga:

Klienci korzystający z usługi Adobe Experience Manager Cloud Service będą automatycznie otrzymywać aktualizacje zawierające nowe funkcje oraz poprawki błędów zabezpieczeń i funkcji.

Uwaga:

Pomoc dotyczącą wersji 6.4, 6.3 i 6.2 programu AEM można uzyskać w dziale Obsługi klienta firmy Adobe.

Informacje o luce w zabezpieczeniach

Kategoria luki w zabezpieczeniach

Wpływ luki w zabezpieczeniach

Istotność

Podstawowy wynik CVSS 

Numer CVE 

Skrypty międzywitrynowe (XSS)

(CWE-79)

Wykonanie dowolnego kodu

Krytyczna

8.0

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H

CVE-2021-43761

Nieprawidłowe ograniczenie odniesienia do zewnętrznej encji XML („XXE”) (CWE-611)

Wykonanie dowolnego kodu

Krytyczna

9.8

CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

CVE-2021-40722

Nieprawidłowa walidacja danych wejściowych (CWE-20)

Obejście funkcji bezpieczeństwa

Istotna

6.5

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N

CVE-2021-43762

Skrypty międzywitrynowe (XSS)

(CWE-79)

Wykonanie dowolnego kodu

Krytyczna

8.0

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H

CVE-2021-43764

Tworzenie skryptów międzywitrynowych (zapisane XSS) (CWE-79)

Wykonanie dowolnego kodu

Krytyczna

8,1

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:N



CVE-2021-43765

Tworzenie skryptów międzywitrynowych (zapisane XSS) (CWE-79)

Wykonanie dowolnego kodu

Krytyczna

8,1

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:N

CVE-2021-44176

Tworzenie skryptów międzywitrynowych (zapisane XSS) (CWE-79)

Wykonanie dowolnego kodu

Krytyczna

8,1

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:N

CVE-2021-44177

Tworzenie skryptów międzywitrynowych (Reflected XSS) (CWE-79)

Wykonanie dowolnego kodu

Istotna

5.4

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:N

CVE-2021-44178

Aktualizacje zależności

Zależność
Wpływ luki w zabezpieczeniach
Zagrożone wersje
xmlgraphics
Eskalacja uprawnień

AEM CS  

AEM 6.5.9.0 i wcześniejsze wersje 

ionetty
Eskalacja uprawnień

AEM CS  

AEM 6.5.9.0 i wcześniejsze wersje 

Podziękowania

Firma Adobe składa podziękowania niżej wymienionym za zgłoszenie tych luk w zabezpieczeniach oraz za współpracę z firmą Adobe w celu ochrony naszych klientów:

  • BASF - CVE-2021-44178, CVE-2021-44177, CVE-2021-44176, CVE-2021-43765, CVE-2021-43764



 

Wersje

14 grudnia 2021: Aktualizowano podziękowanie za CVE-2021-43762

16 grudnia 2021: Poprawiono poziom priorytetu biuletynu na 2

29 grudnia 2021 r.: zaktualizowano podziękowanie dotyczące problemu CVE-2021-40722


Aby uzyskać więcej informacji, odwiedź https://helpx.adobe.com/pl/security.html lub wyślij wiadomość e-mail na adres PSIRT@adobe.com.

Adobe

Pomoc dostępna szybciej i łatwiej

Nowy użytkownik?