Adobe-säkerhetsbulletin

Säkerhetsuppdateringar för Adobe Experience Manager | APSB21-103

Bulletin-ID

Publiceringsdatum

Prioritet

APSB21-103:

14 december 2021 

2

Sammanfattning

Adobe har släppt uppdateringar för Adobe Experience Manager (AEM). Uppdateringarna åtgärdar sårbarheter som har klassats som kritiska och viktiga. Exploatering av sårbarheter kan leda till exekvering av godtycklig kod och att säkerhetsfunktioner kringgås.

Berörda produktversioner

Produkt Version Plattform

 

Adobe Experience Manager (AEM)

AEM Cloud Service (CS)
Alla
6.5.10.0 och tidigare versioner 
Alla

Lösning

Adobe klassar dessa uppdateringar med följande prioritetsklassificeringar och rekommenderar användare att uppdatera till den senaste versionen:

Produkt

Version

Plattform

Prioritet

Tillgänglighet

 

Adobe Experience Manager  (AEM) 

AEM Cloud Service (CS)
Alla 2 Versionsinformation

6.5.11.0 

Alla

2

AEM 6.5 Service Pack versionsinformation 
Obs!

Kunder som kör på Adobe Experience Managers Cloud Service får automatiskt uppdateringar som innehåller nya funktioner samt felkorrigeringar av säkerhet och funktionalitet.  

Obs!

Kontakta Adobes kundtjänst om du behöver hjälp med AEM-versionerna 6.4, 6.3 och 6.2.

Sårbarhetsinformation

Sårbarhetskategori

Sårbarhetens inverkan

Allvarlighet

CVSS-baspoäng 

CVE-nummer 

Cross-site Scripting (XSS)

(CWE-79)

Exekvering av godtycklig kod

Kritisk

8.0

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H

CVE-2021-43761

Felaktig begränsning av XML för extern enhetsreferens ('XXE') (CWE-611)

Exekvering av godtycklig kod

Kritisk

9.8

CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

CVE-2021-40722

Felaktig validering av indata (CWE-20)

Åsidosättning av säkerhetsfunktion

Viktig

6.5

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N

CVE-2021-43762

Cross-site Scripting (XSS)

(CWE-79)

Exekvering av godtycklig kod

Kritisk

8.0

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H

CVE-2021-43764

Serveröverskridande skriptning (lagrad XSS) (CW-79)

Exekvering av godtycklig kod

Kritisk

8.1

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:N



CVE-2021-43765

Serveröverskridande skriptning (lagrad XSS) (CW-79)

Exekvering av godtycklig kod

Allvarlig

8.1

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:N

CVE-2021-44176

Serveröverskridande skriptning (lagrad XSS) (CW-79)

Exekvering av godtycklig kod

Kritisk

8.1

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:N

CVE-2021-44177

Serveröverskridande skriptning (reflekterad XSS) (CWE-79)

Exekvering av godtycklig kod

Viktig

5,4

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:N

CVE-2021-44178

Uppdateringar av beroenden

Beroende
Sårbarhetens inverkan
Berörda versioner
xml-grafik
Eskalering av behörighet

AEM CS  

AEM 6.5.9.0 och tidigare

ionetty
Eskalering av behörighet

AEM CS  

AEM 6.5.9.0 och tidigare

Tack

Adobe tackar följande personer för att de har rapporterat problemen och för att de samarbetar med oss i säkerhetsfrågor: 

  • BASF – CVE-2021-44178, CVE-2021-44177, CVE-2021-44176, CVE-2021-43765, CVE-2021-43764



 

Revisioner

14 december 2021: Uppdaterat bekräftelsen för CVE-2021-43762

16 december 2021: Korrigerat prioritetsnivå för bulletinen till 2

29 december 2021: Uppdaterade bekräftelse för CVE-2021-40722


Mer information finns på https://helpx.adobe.com/se/security.html eller på PSIRT@adobe.com.

 Adobe

Få hjälp snabbare och enklare

Ny användare?