ID do boletim
Última atualização em
05/11/2021
Atualizações de segurança disponíveis para o Adobe Experience Manager | APSB21-82
|
|
Data de publicação |
Prioridade |
|---|---|---|
|
APSB21-82 |
14 de setembro de 2021 |
2 |
Resumo
Adobe lançou atualizações para o Adobe Experience Manager (AEM). Estas atualizações resolvem vulnerabilidades classificadas como críticas e importantes. A exploração bem sucedida dessas vulnerabilidades pode resultar em uma execução arbitrária de código.
Versões do produto afetado
| Produto | Versão | Plataforma |
|---|---|---|
Adobe Experience Manager (AEM) |
AEM Cloud Service (CS) |
Todos |
| 6.5.9.0 e versões anteriores |
Todos |
Solução
A Adobe categoriza essas atualizações com as seguintes classificações de prioridade e recomenda que os usuários atualizem suas instalações para as versões mais recentes:
Produto |
Versão |
Plataforma |
Prioridade |
Disponibilidade |
|---|---|---|---|---|
Adobe Experience Manager (AEM) |
AEM Cloud Service (CS) |
Todos | 2 | Notas de versão |
6.5.10.0 |
Todos |
2 |
Notas de versão do AEM 6.5 Service Pack |
Observação:
Os clientes que executam o Cloud Service da Adobe Experience Manager receberão automaticamente atualizações que incluem novos recursos, bem como correções de erros de segurança e funcionalidade.
Observação:
Entre em contato com o Atendimento ao cliente da Adobe para obter assistência com as versões 6.4, 6.3 e 6.2 do AEM.
Detalhes da vulnerabilidade
|
Categoria da vulnerabilidade |
Impacto da vulnerabilidade |
Severidade |
Pontuação base de CVSS |
Número CVE |
|
|---|---|---|---|---|---|
|
Criação d script entre sites (XSS) (CWE-79) |
Execução de código arbitrária |
Importante |
6.3 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:L/A:N |
CVE-2021-40711 |
|
Validação de entrada inadequada (CWE-20) |
Negação de serviço de aplicativo |
Importante |
6.5 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H |
CVE-2021-40712 |
|
Validação de certificado inadequada (CWE-295) |
Falha de recurso de segurança |
Importante |
5.9 |
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N |
CVE-2021-40713 |
|
Criação d script entre sites (XSS) (CWE-79) |
Execução de código arbitrária |
Importante |
6.4 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:N |
CVE-2021-40714 |
|
Controle de acesso impróprio (CWE-284) |
Falha de recurso de segurança |
Importante |
5.3 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N |
|
Atualizações das dependências
| Dependência |
Impacto da vulnerabilidade |
Versões afetadas |
| Iodash |
Execução de código arbitrária |
AEM CS AEM 6.5.9.0 e anteriores |
| Apache Sling | Travessia de caminho | AEM CS AEM 6.5.9.0 e anteriores |
| Jetty |
Recusa de serviço |
AEM CS AEM 6.5.9.0 e anteriores |
| Jackson-Databind |
Alocação desmarcada do buffer de bytes |
AEM CS AEM 6.5.9.0 e anteriores |
Agradecimentos
A Adobe gostaria de agradecer ao Lorenzo Pirondini (Netcentric, a Cognizant Digital Business) (CVE-2021-40711, CVE-2021-40712) e Eckbert Andresen (CVE-2021-42725) por relatar esses problemas e trabalhar com a Adobe para ajudar a proteger os nossos clientes.
Revisões
27 de setembro de 2021: detalhes da confirmação atualizados para CVE-2021-40711 e CVE-2021-40712.
4 de outubro de 2021: atualização de pontuação base, vetor e Gravidade do CVSS para CVE-2021-40711.
28 de outubro de 2021: detalhes adicionados para CVE-2021-42725.
Para mais informações, acesse https://helpx.adobe.com/br/security.html ou envie um email para PSIRT@adobe.com.
