Бюллетень безопасности Adobe

Обновление безопасности для Adobe Experience Manager | APSB21-39

Идентификатор бюллетеня

Дата публикации

Приоритет

APSB21-39

08 июня 2021 года 

2

Сводка

Компания Adobe выпустила обновления для Adobe Experience Manager (AEM). В этих обновлениях устранены уязвимости, которые классифицируются как важные и средние.  При успешном использовании эта уязвимость могла привести к выполнению произвольного сценария JavaScript в браузере.

Затрагиваемые версии продуктов

Продукт Версия Платформа

 

Adobe Experience Manager (AEM)

Облачная служба AEM (CS)
Все
6.5.8.0 и более ранние версии
Все

Решение

Компания Adobe категоризирует эти обновления при помощи следующих рейтингов приоритета и рекомендует пользователям обновлять установленное программное обеспечение до последних версий:

Продукт

Версия

Платформа

Приоритет

Доступность

 

Adobe Experience Manager (AEM) 

Облачная служба AEM (CS)
Все 2 Сведения о выпуске

6.5.9.0 

Все

2

Заметки о выпуске пакета обновления для AEM 6.5   
Примечание.

Пользователи облачной службы Adobe Experience Manager автоматически получат обновления, включающие новые функции, а также обновления системы безопасности и исправления ошибок в функциональности.  

Примечание.

Для получения помощи с AEM версий 6.3 и 6.2 обратитесь в отдел обслуживания клиентов компании Adobe.

Сведения об уязвимости

Категория уязвимости

Влияние уязвимости

Серьезность

Базовая оценка CVSS 

Номер CVE 

Межсайтовый скриптинг

(CWE-79)

Выполнение произвольного кода

Важная

6.3

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:L

CVE-2021-28625

Неправильная авторизация (CWE-285)

Отказ в обслуживании приложения

Средняя

3.7

CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:L

CVE-2021-28626

Подделка запросов на сервере (SSRF)

(CWE-918)

Обход функции безопасности

Важная

5,4

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:L

CVE-2021-28627

Межсайтовый скриптинг

(CWE-79)

Выполнение произвольного кода

Важная

6.3

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:L

CVE-2021-28628

Обновления для зависимостей

Зависимость
Влияние уязвимости
Затронутые версии
Apache Xerces2
Отказ в обслуживании приложения

AEM CS 

AEM 6.5.8.0 и более ранние версии 

Apache Sling Несоответствующий контроль доступа

AEM CS 

AEM 6.5.8.0 и более ранние версии 

Handlebars.js
Несоответствующий контроль доступа

AEM CS 

AEM 6.5.8.0 и более ранние версии 

Uber Jar
Удаленное выполнение кода

AEM CS 

AEM 6.5.8.0 и более ранние версии 

jQuery
Несоответствующий контроль доступа

AEM CS 

AEM 6.5.8.0 и более ранние версии 

Eclipse Jetty
Неконтролируемое потребление ресурсов

AEM CS 

AEM 6.5.8.0 и более ранние версии 

Благодарности

Компания Adobe благодарит SignorRossi (CVE-2021-28627) за информацию о наличии данной проблемы и за содействие в защите пользователей.  

Редакции

15 июня 2021 г.: Обновленный вектор CVSS для CVE-2021-28626.


Для получения дополнительной информации посетите сайт https://helpx.adobe.com/ru/security.html или отправьте сообщение по адресу PSIRT@adobe.com.

Логотип Adobe

Вход в учетную запись