ID do boletim
Atualizações de segurança disponíveis para o Adobe Experience Manager | APSB21-39
|
Data de publicação |
Prioridade |
---|---|---|
APSB21-39 |
08 de junho de 2021 |
2 |
Resumo
A Adobe lançou atualizações para o Adobe Experience Manager (AEM). Essas atualizações resolvem vulnerabilidades de classificação importantes e moderadas. O aproveitamento bem sucedido destas vulnerabilidades poderiam resultar em uma execução arbitrária de JavaScript no navegador.
Versões do produto afetado
Produto | Versão | Plataforma |
---|---|---|
Adobe Experience Manager (AEM) |
AEM Cloud Service (CS) |
Todos |
6.5.8.0 e versões anteriores |
Todos |
Solução
A Adobe categoriza essas atualizações com as seguintes classificações de prioridade e recomenda que os usuários atualizem suas instalações para as versões mais recentes:
Produto |
Versão |
Plataforma |
Prioridade |
Disponibilidade |
---|---|---|---|---|
Adobe Experience Manager (AEM) |
AEM Cloud Service (CS) |
Todos | 2 | Notas de versão |
6.5.9.0 |
Todos |
2 |
Notas de versão do AEM 6.5 Service Pack |
Os clientes que executam o Cloud Service da Adobe Experience Manager receberão automaticamente atualizações que incluem novos recursos, bem como correções de erros de segurança e funcionalidade.
Entre em contato com o Atendimento ao cliente da Adobe para obter assistência com as versões 6.3 e 6.2 do AEM.
Detalhes da vulnerabilidade
Categoria da vulnerabilidade |
Impacto da vulnerabilidade |
Severidade |
Pontuação base de CVSS |
Número CVE |
|
---|---|---|---|---|---|
Criação d script entre sites (XSS) (CWE-79) |
Execução de código arbitrária |
Importante |
6.3 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:L |
CVE-2021-28625 |
Autorização inadequada (CWE-285) |
Negação de serviço de aplicativo |
Moderado |
3.7 |
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:L |
CVE-2021-28626 |
Server-Side Request Forgery (SSRF) (CWE-918) |
Falha de recurso de segurança |
Importante |
5,4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:L |
CVE-2021-28627 |
Criação d script entre sites (XSS) (CWE-79) |
Execução de código arbitrária |
Importante |
6.3 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:L |
CVE-2021-28628 |
Atualizações das dependências
Dependência |
Impacto da vulnerabilidade |
Versões afetadas |
Apache Xerces2 |
Negação de serviço de aplicativo |
AEM CS AEM 6.5.8.0 e anteriores |
Apache Sling | Controle de acesso impróprio | AEM CS AEM 6.5.8.0 e anteriores |
Handlebars.js |
Controle de acesso impróprio | AEM CS AEM 6.5.8.0 e anteriores |
Uber Jar |
Execução de código remota | AEM CS AEM 6.5.8.0 e anteriores |
jQuery |
Controle de acesso impróprio |
AEM CS AEM 6.5.8.0 e anteriores |
Eclipse Jetty |
Consumo de recurso não controlado | AEM CS AEM 6.5.8.0 e anteriores |
Agradecimentos
A Adobe gostaria de agradecer a SignorRossi (CVE-2021-28627) por ter relatado esse problema e trabalhado com a Adobe para ajudar a proteger nossos clientes.
Revisões
15 de junho de 2021: Vetor atualizado do CVSS para CVE-2021-28626 atualizado.
Para obter mais informações, visite https://helpx.adobe.com/security.html ou envie um email para PSIRT@adobe.com.