Adobe-säkerhetsbulletin

Säkerhetsuppdateringar för Adobe Experience Manager | APSB21-39

Bulletin-ID

Publiceringsdatum

Prioritet

APSB21-39

den 8 juni 2021

2

Sammanfattning

Adobe har släppt uppdateringar för Adobe Experience Manager (AEM). Uppdateringarna åtgärdar säkerhetsluckor som klassats som viktiga och måttliga.  Ett lyckat utnyttjande av dessa sårbarheter kan resultera i godtycklig JavaScript-körning i webbläsaren.

Berörda produktversioner

Produkt Version Plattform

 

Adobe Experience Manager (AEM)

AEM Cloud Service (CS)
Alla
6.5.8.0 och tidigare versioner
Alla

Lösning

Adobe klassar dessa uppdateringar med följande prioritetsklassificeringar och rekommenderar användare att uppdatera till den senaste versionen:

Produkt

Version

Plattform

Prioritet

Tillgänglighet

 

Adobe Experience Manager  (AEM) 

AEM Cloud Service (CS)
Alla 2 Versionsinformation

6.5.9.0 

Alla

2

AEM 6.5 Service Pack versionsinformation 
Obs!

Kunder som kör på Adobe Experience Managers Cloud Service får automatiskt uppdateringar som innehåller nya funktioner samt felkorrigeringar av säkerhet och funktionalitet.  

Obs!

Kontakta Adobes kundtjänst om du behöver hjälp med AEM-versionerna 6.3 och 6.2.

Sårbarhetsinformation

Sårbarhetskategori

Sårbarhetens inverkan

Allvarlighet

CVSS-baspoäng

CVE-nummer 

Cross-site Scripting (XSS)

(CWE-79)

Exekvering av godtycklig kod

Viktigt

6.3

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:L

CVE-2021-28625

Felaktig auktorisering (CWE-285)

Denial-of-service för program

Måttlig

3.7

CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:L

CVE-2021-28626

Förfalskad begäran på serversidan (SSRF)

(CWE-918)

Åsidosättning av säkerhetsfunktion

Viktigt

5,4

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:L

CVE-2021-28627

Cross-site Scripting (XSS)

(CWE-79)

Exekvering av godtycklig kod

Viktigt

6.3

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:L

CVE-2021-28628

Uppdateringar av beroenden

Beroende
Sårbarhetens inverkan
Berörda versioner
Apache Xerces2
Denial-of-service för program

AEM CS 

AEM 6.5.8.0 och tidigare

Apache Sling Felaktig åtkomstkontroll

AEM CS 

AEM 6.5.8.0 och tidigare

Handlebars.js
Felaktig åtkomstkontroll

AEM CS 

AEM 6.5.8.0 och tidigare

Uber Jar
Fjärrexekvering av kod

AEM CS 

AEM 6.5.8.0 och tidigare

jQuery
Felaktig åtkomstkontroll

AEM CS 

AEM 6.5.8.0 och tidigare

Eclipse Jetty
Okontrollerad resursförbrukning

AEM CS 

AEM 6.5.8.0 och tidigare

Tack

Adobe tackar SignorRossi (CVE-2021-28627) för att ha rapporterat problemen och för att ha samarbetat med Adobe i säkerhetsfrågor.  

Revisioner

15 juni 2021: Uppdaterad CVSS-vektor för  CVE-2021-28626.


Mer information finns på https://helpx.adobe.com/se/security.html eller på PSIRT@adobe.com.

Adobes logotyp

Logga in på ditt konto