Buletin de securitate Adobe

Actualizări de securitate disponibile pentru Adobe Experience Manager | APSB21-103

ID buletin

Data publicării

Prioritatea

APSB21-103

14 decembrie 2021 

2

Sumar

Adobe a lansat actualizări pentru Adobe Experience Manager (AEM). Aceste actualizări rezolvă vulnerabilități evaluate drept critice și importante.  Exploatarea reușită a acestor vulnerabilități ar putea duce la executarea arbitrară a codului și la ocolirea caracteristicilor de securitate.

Versiunile de produs afectate

Produs Versiunea Platformă

 

Adobe Experience Manager (AEM)

AEM Cloud Service (CS)
Toate
6.5.10.0 și versiunile anterioare 
Toate

Soluție

Adobe acordă acestor actualizări următoarele evaluări ale priorității și recomandă utilizatorilor să își actualizeze produsele instalate la cea mai nouă versiune:

Produs

Versiunea

Platformă

Prioritatea

Disponibilitate

 

Adobe Experience Manager  (AEM) 

AEM Cloud Service (CS)
Toate 2 Note de lansare

6.5.11.0

Toate

2

Note privind lansarea pachetului AEM 6.5 Service Pack
Notă:

Clienții care rulează în serviciul cloud din Adobe Experience Manager vor primi automat actualizările care includ caracteristici noi, precum și remedieri ale erorilor de funcționalitate și de securitate.  

Notă:

Contactați serviciul de asistență pentru clienți Adobe pentru ajutor privind versiunile AEM 6.4, 6.3 și 6.2.

Detalii privind vulnerabilitatea

Categoria de vulnerabilitate

Impactul vulnerabilității

Severitate

Scor de bază CVSS 

Număr CVE 

Scriptare între site-uri (XSS)

(CWE-79)

Executare de cod arbitrară

Critică

8.0

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H

CVE-2021-43761

Restricționare inadecvată a referinței la entități externe XML („XXE”) (CWE-611)

Executare de cod arbitrară

Critică

9.8

CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

CVE-2021-40722

Validare neadecvată a intrării (CWE-20)

Ocolirea caracteristicii de securitate

Importantă

6.5

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N

CVE-2021-43762

Scriptare între site-uri (XSS)

(CWE-79)

Executare de cod arbitrară

Critică

8.0

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H

CVE-2021-43764

Scriptare între site-uri (XSS stocat) (CWE-79)

Executare de cod arbitrară

Critică

8.1

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:N



CVE-2021-43765

Scriptare între site-uri (XSS stocat) (CWE-79)

Executare de cod arbitrară

Critică

8.1

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:N

CVE-2021-44176

Scriptare între site-uri (XSS stocat) (CWE-79)

Executare de cod arbitrară

Critică

8.1

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:N

CVE-2021-44177

Scriptare între site-uri (XSS reflectat) (CWE-79)

Executare de cod arbitrară

Importantă

5.4

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:N

CVE-2021-44178

Actualizări ale dependențelor

Dependență
Impactul vulnerabilității
Versiuni afectate
xmlgraphics
Escaladarea privilegiilor

AEM CS  

AEM 6.5.9.0 și versiunile anterioare 

ionetty
Escaladarea privilegiilor

AEM CS  

AEM 6.5.9.0 și versiunile anterioare 

Mențiuni

Adobe dorește să le mulțumească următorilor pentru raportarea acestor probleme și pentru colaborarea cu Adobe în scopul protejării clienților noștri: 

  • BASF - CVE-2021-44178, CVE-2021-44177, CVE-2021-44176, CVE-2021-43765, CVE-2021-43764



 

Revizii

14 decembrie 2021: Recunoaștere actualizată pentru CVE-2021-43762

16 decembrie 2021: Nivelul de prioritate al buletinului a fost corectat la 2

29 decembrie 2021: s-a actualizat recunoașterea pentru CVE-2021-40722


Pentru mai multe informații, vizitați https://helpx.adobe.com/ro/security.html sau trimiteți e-mail la PSIRT@adobe.com.

 Adobe

Obțineți ajutor mai rapid și mai ușor

Utilizator nou?