Boletim de segurança da Adobe

Atualizações de segurança disponíveis para o Adobe Experience Manager | APSB21-82

ID do boletim

Data de publicação

Prioridade

APSB21-82

14 de setembro de 2021 

2

Resumo

Adobe lançou atualizações para o Adobe Experience Manager (AEM). Estas atualizações resolvem vulnerabilidades classificadas como críticas e importantes. A exploração bem sucedida dessas vulnerabilidades pode resultar em uma execução arbitrária de código. 

Versões do produto afetado

Produto Versão Plataforma

 

Adobe Experience Manager (AEM)

AEM Cloud Service (CS)
Todos
6.5.9.0 e versões anteriores 
Todos

Solução

A Adobe categoriza essas atualizações com as seguintes classificações de prioridade e recomenda que os usuários atualizem suas instalações para as versões mais recentes:

Produto

Versão

Plataforma

Prioridade

Disponibilidade

 

Adobe Experience Manager (AEM) 

AEM Cloud Service (CS)
Todos 2 Notas de versão

6.5.10.0 

Todos

2

Notas de versão do AEM 6.5 Service Pack   
Observação:

Os clientes que executam o Cloud Service da Adobe Experience Manager receberão automaticamente atualizações que incluem novos recursos, bem como correções de erros de segurança e funcionalidade.  

Observação:

Entre em contato com o Atendimento ao cliente da Adobe para obter assistência com as versões 6.4, 6.3 e 6.2 do AEM.

Detalhes da vulnerabilidade

Categoria da vulnerabilidade

Impacto da vulnerabilidade

Severidade

Pontuação base de CVSS 

Número CVE 

Criação d script entre sites (XSS)

(CWE-79)

Execução de código arbitrária

Importante

6.3

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:L/A:N

CVE-2021-40711

Validação de entrada inadequada (CWE-20)

Negação de serviço de aplicativo

Importante

6.5

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H

CVE-2021-40712

Validação de certificado inadequada (CWE-295)

Falha de recurso de segurança

Importante

5.9

CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N

CVE-2021-40713

Criação d script entre sites (XSS)

(CWE-79)

Execução de código arbitrária

Importante

6.4

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:N

CVE-2021-40714

Controle de acesso impróprio (CWE-284)

Falha de recurso de segurança

Importante

5.3

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N


CVE-2021-42725

Atualizações das dependências

Dependência
Impacto da vulnerabilidade
Versões afetadas
Iodash
Execução de código arbitrária

AEM CS  

AEM 6.5.9.0 e anteriores 

Apache Sling Travessia de caminho

AEM CS  

AEM 6.5.9.0 e anteriores 

Jetty
Recusa de serviço

AEM CS  

AEM 6.5.9.0 e anteriores 

Jackson-Databind
Alocação desmarcada do buffer de bytes

AEM CS   

AEM 6.5.9.0 e anteriores  

Agradecimentos

A Adobe gostaria de agradecer ao Lorenzo Pirondini (Netcentric, a Cognizant Digital Business) (CVE-2021-40711, CVE-2021-40712) e Eckbert Andresen (CVE-2021-42725) por relatar esses problemas e trabalhar com a Adobe para ajudar a proteger os nossos clientes.

Revisões

27 de setembro de 2021: detalhes da confirmação atualizados para CVE-2021-40711 e CVE-2021-40712.

4 de outubro de 2021: atualização de pontuação base, vetor e Gravidade do CVSS para CVE-2021-40711.

28 de outubro de 2021: detalhes adicionados para CVE-2021-42725.


Para mais informações, acesse https://helpx.adobe.com/br/security.html ou envie um email para PSIRT@adobe.com.

 Adobe

Receba ajuda com mais rapidez e facilidade

Novo usuário?

Adobe MAX 2024

Adobe MAX

The Creativity Conference

14 a 16 de outubro, Miami Beach e online

Adobe MAX 2024

Adobe MAX

The Creativity Conference

14 a 16 de outubro, Miami Beach e online