Adobe Experience Manager 6.5.0.0< 6.5.11.0 の複数の脆弱性 (APSB21-103 )

critical Nessus プラグイン ID 156060

概要

リモートホストにインストールされている Adobe Experience Manager インスタンスは、複数の脆弱性の影響を受けます。

説明

リモートホストにインストールされている Adobe Experience Manager のバージョンは、6.5.11.0 より前です。したがって、APSB21-103 のアドバイザリに記載されている複数の脆弱性の影響を受けます。

- AEM Forms Cloud Service およびバージョン 6.5.10.0 (およびそれ以前) は、XML 外部エンティティ (XXE) インジェクションの脆弱性の影響を受け、攻撃者が RCE を達成するために悪用する可能性があります。(CVE-2021-40722)

- AEM の Cloud Service 製品、およびバージョン 6.5.7.0 (およびそれ以前)、6.4.8.3 (およびそれ以前)、6.3.3.8 (およびそれ以前) は、蓄積型クロスサイトスクリプティング (XSS) の脆弱性の影響を受けます。攻撃者がこれを悪用し、脆弱なフォームフィールドに悪意のあるスクリプトを注入する可能性があります。被害者が脆弱なフィールドを含むページを閲覧するとき、悪意のある JavaScript が被害者のブラウザで実行される可能性があります。(CVE-2021-43761)

- AEM の Cloud Service 製品、およびバージョン 6.5.10.0 (およびそれ以前) は、セキュリティコントロールを回避するために悪用される可能性があるディスパッチャーバイパスの脆弱性の影響を受けます。脆弱性の悪用により、ウェブアプリケーションの機密領域が漏洩する可能性があります。(CVE-2021-43762)

- AEM の Cloud Service 製品、およびバージョン 6.5.10.0 (およびそれ以前) は、蓄積型クロスサイトスクリプティング (XSS) の脆弱性の影響を受けます。攻撃者がこれを悪用し、脆弱なフォームフィールドに悪意のあるスクリプトを注入する可能性があります。被害者が脆弱なフィールドを含むページを閲覧するとき、悪意のある JavaScript が被害者のブラウザで実行される可能性があります。(CVE-2021-43764、CVE-2021-43765、CVE-2021-44176、CVE-2021-44177)

- AEM の Cloud Service 製品、およびバージョン 6.5.10.0 (およびそれ以前) は、itemResourceType パラメーターを介して、反射型クロスサイトスクリプティング (XSS) の脆弱性の影響を受けます。攻撃者が被害者に、脆弱なページを参照している URL にアクセスするよう誘導することができる場合、悪意のある JavaScript コンテンツが被害者のブラウザのコンテキスト内で実行される可能性があります (CVE-2021-44178)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

Adobe Experience Manager バージョン 6.5.11.0 以降にアップグレードしてください。

参考資料

http://www.nessus.org/u?29bb3f13

プラグインの詳細

深刻度: Critical

ID: 156060

ファイル名: adobe_experience_manager_apsb21-103.nasl

バージョン: 1.8

タイプ: remote

エージェント: windows, macosx, unix

ファミリー: Misc.

公開日: 2021/12/14

更新日: 2024/11/21

サポートされているセンサー: Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 5.9

CVSS v2

リスクファクター: High

基本値: 7.5

現状値: 5.5

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P

CVSS スコアのソース: CVE-2021-40722

CVSS v3

リスクファクター: Critical

基本値: 9.8

現状値: 8.5

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

脆弱性情報

CPE: cpe:/a:adobe:experience_manager

必要な KB アイテム: installed_sw/Adobe Experience Manager

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2021/12/14

脆弱性公開日: 2021/9/14

参照情報

CVE: CVE-2021-40722, CVE-2021-43761, CVE-2021-43762, CVE-2021-43764, CVE-2021-43765, CVE-2021-44176, CVE-2021-44177, CVE-2021-44178

CWE: 20, 611, 79

IAVA: 2021-A-0585-S