Adobe 安全性公告

發佈 Adobe Experience Manager 的安全性更新 | APSB21-39

安全性公告 ID

發佈日期

優先順序

APSB21-39

2021 年 6 月 8 日

2

摘要

Adobe 已發佈 Adobe Experience Manager (AEM) 的更新。這些更新可解決多項重要中度弱點。  這些弱點一旦遭有心人士成功利用,可能導致瀏覽器任意執行 JavaScript。

受影響的產品版本

產品 版本 平台

 

Adobe Experience Manager (AEM)

AEM Cloud Service (CS)
全部
6.5.8.0 及舊版
全部

解決方法

Adobe 依照下列優先順序分級將這些更新分類,並建議使用者將其安裝更新至最新版本:

產品

版本

平台

優先順序

上市情況

 

Adobe Experience Manager  (AEM) 

AEM Cloud Service (CS)
全部 2 發行說明

6.5.9.0 

全部

2

AEM 6.5 Service Pack 發行說明
註解:

若客戶執行的是 Adobe Experience Manager 的 Cloud Service,系統會自動接收更新,包括新功能以及安全性與功能錯誤修正。 

註解:

若需尋求 AEM 6.3 和 6.2 等版本的相關協助,請洽詢 Adobe 客戶服務

弱點詳細資料

弱點類別

弱點影響

嚴重性

CVSS 基本評分

CVE 編號 

跨網站指令碼 (XSS)

(CWE-79)

任意執行程式碼

重要

6.3

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:L

CVE-2021-28625

不當授權 (CWE-285)

應用程式拒絕提供服務

中度

3.7

CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:L

CVE-2021-28626

伺服器端偽造要求 (SSRF)

(CWE-918)

安全功能無故略過

重要

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:L

CVE-2021-28627

跨網站指令碼 (XSS)

(CWE-79)

任意執行程式碼

重要

6.3

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:L

CVE-2021-28628

相依性更新

相依性
弱點影響
受影響的版本
Apache Xerces2
應用程式拒絕提供服務

AEM CS 

AEM 6.5.8.0 (含) 以前版本

Apache Sling 不當控制存取權

AEM CS 

AEM 6.5.8.0 (含) 以前版本

Handlebars.js
不當控制存取權

AEM CS 

AEM 6.5.8.0 (含) 以前版本

Uber Jar
遠端程式碼執行

AEM CS 

AEM 6.5.8.0 (含) 以前版本

jQuery
不當控制存取權

AEM CS 

AEM 6.5.8.0 (含) 以前版本

Eclipse Jetty
無限制耗用資源

AEM CS 

AEM 6.5.8.0 (含) 以前版本

鳴謝

Adobe 在此感謝 SignorRossi (CVE-2021-28627) 回報此項問題,與 Adobe 共同保護客戶的安全。  

修訂

2021 年 6 月 15 日: 更新了 CVE-2021-28626 的 CVSS 向量。


如需詳細資訊,請造訪 https://helpx.adobe.com/tw/security.html,或傳送電子郵件至 PSIRT@adobe.com。

Adobe 標誌

登入您的帳戶