Bulletin-ID
Senast uppdaterad den
18 jan. 2022
Säkerhetsuppdateringar för Adobe Experience Manager | APSB21-103
|
|
Publiceringsdatum |
Prioritet |
|---|---|---|
|
APSB21-103: |
14 december 2021 |
2 |
Sammanfattning
Berörda produktversioner
| Produkt | Version | Plattform |
|---|---|---|
Adobe Experience Manager (AEM) |
AEM Cloud Service (CS) |
Alla |
| 6.5.10.0 och tidigare versioner |
Alla |
Lösning
Adobe klassar dessa uppdateringar med följande prioritetsklassificeringar och rekommenderar användare att uppdatera till den senaste versionen:
Produkt |
Version |
Plattform |
Prioritet |
Tillgänglighet |
|---|---|---|---|---|
Adobe Experience Manager (AEM) |
AEM Cloud Service (CS) |
Alla | 2 | Versionsinformation |
6.5.11.0 |
Alla |
2 |
AEM 6.5 Service Pack versionsinformation |
Obs!
Kunder som kör på Adobe Experience Managers Cloud Service får automatiskt uppdateringar som innehåller nya funktioner samt felkorrigeringar av säkerhet och funktionalitet.
Obs!
Kontakta Adobes kundtjänst om du behöver hjälp med AEM-versionerna 6.4, 6.3 och 6.2.
Sårbarhetsinformation
|
Sårbarhetskategori |
Sårbarhetens inverkan |
Allvarlighet |
CVSS-baspoäng |
CVE-nummer |
|
|---|---|---|---|---|---|
|
Cross-site Scripting (XSS) (CWE-79) |
Exekvering av godtycklig kod |
Kritisk |
8.0 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H |
CVE-2021-43761 |
|
Felaktig begränsning av XML för extern enhetsreferens ('XXE') (CWE-611) |
Exekvering av godtycklig kod |
Kritisk |
9.8 |
CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
CVE-2021-40722 |
|
Felaktig validering av indata (CWE-20) |
Åsidosättning av säkerhetsfunktion |
Viktig |
6.5 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N |
CVE-2021-43762 |
|
Cross-site Scripting (XSS) (CWE-79) |
Exekvering av godtycklig kod |
Kritisk |
8.0 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H |
CVE-2021-43764 |
|
Serveröverskridande skriptning (lagrad XSS) (CW-79) |
Exekvering av godtycklig kod |
Kritisk |
8.1 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:N |
|
|
Serveröverskridande skriptning (lagrad XSS) (CW-79) |
Exekvering av godtycklig kod |
Allvarlig |
8.1 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:N |
CVE-2021-44176 |
|
Serveröverskridande skriptning (lagrad XSS) (CW-79) |
Exekvering av godtycklig kod |
Kritisk |
8.1 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:N |
CVE-2021-44177 |
|
Serveröverskridande skriptning (reflekterad XSS) (CWE-79) |
Exekvering av godtycklig kod |
Viktig |
5,4 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:N |
CVE-2021-44178 |
Uppdateringar av beroenden
| Beroende |
Sårbarhetens inverkan |
Berörda versioner |
| xml-grafik |
Eskalering av behörighet | AEM CS AEM 6.5.9.0 och tidigare |
| ionetty |
Eskalering av behörighet |
AEM CS AEM 6.5.9.0 och tidigare |
Tack
Adobe tackar följande personer för att de har rapporterat problemen och för att de samarbetar med oss i säkerhetsfrågor:
BASF – CVE-2021-44178, CVE-2021-44177, CVE-2021-44176, CVE-2021-43765, CVE-2021-43764
- Lorenzo Pirondini (Netcentric, a Cognizant Digital Business) – CVE-2021-43762
- Muh. Azinar Ismail och Adi Satriadharma – CVE-2021-40722
Revisioner
14 december 2021: Uppdaterat bekräftelsen för CVE-2021-43762
16 december 2021: Korrigerat prioritetsnivå för bulletinen till 2
29 december 2021: Uppdaterade bekräftelse för CVE-2021-40722
Mer information finns på https://helpx.adobe.com/se/security.html eller på PSIRT@adobe.com.
