ID do boletim
Última atualização em
10/09/2021
Atualizações de segurança disponíveis para o Adobe Experience Manager | APSB21-15
|
|
Data de publicação |
Prioridade |
|---|---|---|
|
APSB21-15 |
11 de maio de 2021 |
2 |
Resumo
Adobe lançou atualizações para o Adobe Experience Manager (AEM). Estas atualizações resolvem vulnerabilidades classificadas como críticas e importantes. O aproveitamento bem sucedido destas vulnerabilidades poderiam resultar em uma execução arbitrária de JavaScript no navegador.
Versões do produto afetado
| Produto | Versão | Plataforma |
|---|---|---|
Adobe Experience Manager (AEM) |
AEM Cloud Service (CS) |
Todos |
| 6.5.7.0 e versões anteriores |
Todos |
|
| 6.4.8.3 e versões anteriores |
Todos |
|
| 6.3.3.8 e versões anteriores |
Todos |
Solução
A Adobe categoriza essas atualizações com as seguintes classificações de prioridade e recomenda que os usuários atualizem suas instalações para as versões mais recentes:
Produto |
Versão |
Plataforma |
Prioridade |
Disponibilidade |
|---|---|---|---|---|
Adobe Experience Manager (AEM) |
AEM Cloud Service (CS) |
Todos | 2 | Notas de versão |
6.5.8.0 |
Todos |
2 |
Notas de versão do AEM 6.5 Service Pack | |
6.4.8.4 |
Todos |
2 |
Observação:
Os clientes que executam o Cloud Service da Adobe Experience Manager receberão automaticamente atualizações que incluem novos recursos, bem como correções de erros de segurança e funcionalidade.
Observação:
O AEM Cumulative Fix Pack 6.4.8.4 é uma atualização importante que inclui várias correções internas e de clientes desde a disponibilização do AEM 6.4 Service Pack 8 (6.4.8.0) em março de 2020.
Observação:
Entre em contato com o Atendimento ao cliente da Adobe para obter assistência com as versões 6.3 e 6.2 do AEM.
Detalhes da vulnerabilidade
|
Categoria da vulnerabilidade |
Impacto da vulnerabilidade |
Severidade |
Número CVE |
Versões afetadas |
|---|---|---|---|---|
|
Controle de acesso incorreto |
Negação de serviço de aplicativo |
Importante |
CVE-2021-21083 |
AEM CS AEM 6.5.7.0 e anteriores AEM 6.4.8.3 e anteriores AEM 6.3.3.8 e anteriores |
|
Criação de script entre sites (armazenado) |
Execução arbitrária de JavaScript no navegador |
Crítico |
CVE-2021-21084 |
AEM CS AEM 6.5.7.0 e anteriores AEM 6.4.8.3 e anteriores AEM 6.3.3.8 e anteriores |
Atualizações das dependências
| Dependência |
Impacto da vulnerabilidade |
Versões afetadas |
| Commons-io |
Controle de acesso impróprio |
AEM CS AEM 6.5.7.0 e anteriores AEM 6.4.8.3 e anteriores AEM 6.3.3.8 e anteriores |
| MetadataExtractor |
Consumo de recurso não controlado |
AEM CS AEM 6.5.7.0 e anteriores AEM 6.4.8.3 e anteriores AEM 6.3.3.8 e anteriores |
| FasterXML Jackson Databind/Core |
Execução de código remota |
AEM CS AEM 6.5.7.0 e anteriores AEM 6.4.8.3 e anteriores AEM 6.3.3.8 e anteriores |
| Eclipse Jetty |
Controle de acesso impróprio |
AEM CS AEM 6.5.7.0 e anteriores AEM 6.4.8.3 e anteriores AEM 6.3.3.8 e anteriores |
| Lucene Queryparser |
Execução de código remota |
AEM CS AEM 6.5.7.0 e anteriores AEM 6.4.8.3 e anteriores AEM 6.3.3.8 e anteriores |
| Apache XML-RPC |
Execução de código arbitrário |
AEM CS AEM 6.5.7.0 e anteriores AEM 6.4.8.3 e anteriores AEM 6.3.3.8 e anteriores |
| Zip4j |
Execução de código arbitrário |
AEM CS AEM 6.5.7.0 e anteriores AEM 6.4.8.3 e anteriores AEM 6.3.3.8 e anteriores |
| Apache Directory LDAP API |
Controle de acesso impróprio | AEM CS AEM 6.5.7.0 e anteriores AEM 6.4.8.3 e anteriores AEM 6.3.3.8 e anteriores |
| Apache Sling |
Controle de acesso impróprio | AEM CS AEM 6.5.7.0 e anteriores AEM 6.4.8.3 e anteriores AEM 6.3.3.8 e anteriores |
| Apache Felix |
Execução de código arbitrário |
AEM CS AEM 6.5.7.0 e anteriores AEM 6.4.8.3 e anteriores AEM 6.3.3.8 e anteriores |
| Apache Solr |
Acesso de leitura/gravação incorreto |
AEM CS AEM 6.5.7.0 e anteriores AEM 6.4.8.3 e anteriores AEM 6.3.3.8 e anteriores |
| Apache Tomcat |
Controle de acesso impróprio |
AEM CS AEM 6.5.7.0 e anteriores AEM 6.4.8.3 e anteriores AEM 6.3.3.8 e anteriores |
| jQuery |
Execução de código arbitrário |
AEM CS AEM 6.5.7.0 e anteriores AEM 6.4.8.3 e anteriores AEM 6.3.3.8 e anteriores |
Agradecimentos
A Adobe gostaria de agradecer à Thomas Hartman da netcentric (CVE-2021-21083) por relatar esses problemas e trabalhar com a Adobe para ajudar a proteger os nossos clientes.
