警惕!Adobe Experience Manager 中的多个安全漏洞
0x01 漏洞描述
Adobe Experience Manager是一个全面的内容管理解决方案,建于OSGi开源架构,并在 Java 上完成构建。与Adobe Analytics相同,支持中文界面,方便用户使用。功能包括数字资产管理系统,多媒体素材版本管理与审批,自动化剪裁,支持各类数字资源的管理,提供用于构建网站和移动应用程序的多种工具,并可用于创建动态的数字体验与内容碎片,也涵盖了针对无纸化表格和客户沟通方案的功能。
2021年12月16日,360漏洞云团队监测到Adobe发布安全公告,修复了8个存在于Adobe Experience Manager 中的漏洞。其中,1个严重漏洞,5个高危漏洞,2个中危漏洞,漏洞详情如下:
CVE编号 漏洞类型 漏洞等级 CVSS评分 CVE-2021-43761 跨站脚本 (XSS) 高危 8.0CVE-2021-40722 XXE 严重 9.8CVE-2021-43762 |
输入验证 不当 中危 6.5CVE-2021-43764 跨站脚本 (XSS) 高危 8.0CVE-2021-43765 跨站脚本 (XSS) 高危 8.1CVE-2021-44176 跨站脚本 (XSS)高危 8.1CVE-2021-44177 跨站脚本 (XSS) 高危 8.1CVE-2021-44178 跨站脚本 (XSS) 中危 5.4
0x02 危害等级
严重
0x03 影响版本
Adobe Experience Manager=AEM Cloud Service
Adobe Experience Manager<=6.5.10.0
0x04 修复建议
厂商已发布升级修复漏洞,用户请尽快更新至安全版本:
AEM Cloud Service (CS)
https://experienceleague.adobe.com/docs/experience-manager-cloud-service/content/release-notes/release-notes/release-notes-current.html?lang=en#release-notes
6.5.11.0
https://experienceleague.adobe.com/docs/experience-manager-65/release-notes/service-pack/sp-release-notes.html
与此同时,请做好资产自查以及预防工作,以免遭受黑客攻击。
0x05 时间轴
2021-12-16 - 360漏洞云监测到Adobe发布安全更新,修复多个漏洞。
2021-12-16 - 360漏洞云发布安全动态。
