ID buletin
Ultima actualizare la
16 iun. 2021
Actualizări de securitate disponibile pentru Adobe Experience Manager | APSB21-39
|
|
Data publicării |
Prioritatea |
|---|---|---|
|
APSB21-39 |
08 iunie 2021 |
2 |
Sumar
Adobe a lansat actualizări pentru Adobe Experience Manager (AEM). Aceste actualizări remediază vulnerabilități evaluate drept importante și moderate. Exploatarea reușită a acestora ar putea duce la executarea arbitrară de cod JavaScript în browser.
Versiunile de produs afectate
| Produs | Versiunea | Platformă |
|---|---|---|
Adobe Experience Manager (AEM) |
AEM Cloud Service (CS) |
Toate |
| 6.5.8.0 şi versiunile anterioare |
Toate |
Soluție
Adobe acordă acestor actualizări următoarele evaluări ale priorității și recomandă utilizatorilor să își actualizeze produsele instalate la cea mai nouă versiune:
Produs |
Versiunea |
Platformă |
Prioritatea |
Disponibilitate |
|---|---|---|---|---|
Adobe Experience Manager (AEM) |
AEM Cloud Service (CS) |
Toate | 2 | Note de lansare |
6.5.9.0 |
Toate |
2 |
Note privind lansarea pachetului AEM 6.5 Service Pack |
Notă:
Clienții care rulează în serviciul cloud din Adobe Experience Manager vor primi automat actualizările care includ caracteristici noi, precum și remedieri ale erorilor de funcționalitate și de securitate.
Notă:
Contactați serviciul de asistență pentru clienți Adobe pentru ajutor privind versiunile AEM 6.3 și 6.2.
Detalii privind vulnerabilitatea
|
Categoria de vulnerabilitate |
Impactul vulnerabilității |
Severitate |
Scor de bază CVSS |
Număr CVE |
|
|---|---|---|---|---|---|
|
Scriptare între site-uri (XSS) (CWE-79) |
Executare de cod arbitrară |
Importantă |
6.3 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:L |
CVE-2021-28625 |
|
Improper Authorization (CWE-285) |
Refuz de serviciu pentru aplicație |
Moderată |
3.7 |
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:L |
CVE-2021-28626 |
|
Falsificarea solicitărilor de partea serverului (SSRF) (CWE-918) |
Ocolirea caracteristicii de securitate |
Importantă |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:L |
CVE-2021-28627 |
|
Scriptare între site-uri (XSS) (CWE-79) |
Executare de cod arbitrară |
Importantă |
6.3 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:L |
CVE-2021-28628 |
Actualizări ale dependențelor
| Dependență |
Impactul vulnerabilității |
Versiunile afectate |
| Apache Xerces2 |
Refuz de serviciu pentru aplicație |
AEM CS AEM 6.5.8.0 și versiunile anterioare |
| Apache Sling | Control inadecvat al accesului | AEM CS AEM 6.5.8.0 și versiunile anterioare |
| Handlebars.js |
Control inadecvat al accesului | AEM CS AEM 6.5.8.0 și versiunile anterioare |
| Uber Jar |
Executare de cod de la distanță | AEM CS AEM 6.5.8.0 și versiunile anterioare |
| jQuery |
Control inadecvat al accesului |
AEM CS AEM 6.5.8.0 și versiunile anterioare |
| Eclipse Jetty |
Consum necontrolat de resurse | AEM CS AEM 6.5.8.0 și versiunile anterioare |
Mențiuni
Adobe dorește să îi mulțumească lui SignorRossi (CVE-2021-28627), pentru că a raportat această problemă și a colaborat cu Adobe, contribuind la protejarea clienților noștri.
Revizii
15 iunie 2021: Vector CVSS actualizat pentru CVE-2021-28626.
Pentru mai multe informații, vizitați https://helpx.adobe.com/ro/security.html sau trimiteți e-mail la PSIRT@adobe.com.
