Adobe Experience Manager 6.5.0.0< 6.5.11.0の複数の脆弱性 (APSB21-103 )

critical Nessus プラグイン ID 156060

Language:

概要

リモートホストにインストールされているAdobe Experience Managerインスタンスは、複数の脆弱性の影響を受けます。

説明

リモートホストにインストールされているAdobe Experience Managerのバージョンは、テスト済みバージョンより前です。したがって、apsb21-103 のアドバイザリに記載されている複数の脆弱性の影響を受けます。

- AEM Forms Cloud Service およびバージョン 6.5.10.0 (およびそれ以前) は、XML 外部エンティティ (XXE) インジェクションの脆弱性の影響を受け、攻撃者が RCE を達成するために悪用する可能性があります。(CVE-2021-40722)

- Adobe Experience Managerバージョン6.5.9.0 (およびそれ以前 ) は、コンテンツフラグメントを作成するときに、蓄積型XSSの脆弱性の影響を受けます。認証された攻撃者が、無効な形式のPOSTリクエストを送信して、任意のコードを実行する可能性があります。被害者が脆弱なフィールドを含むページを閲覧するとき、悪意のある JavaScript が被害者のブラウザで実行される可能性があります。 (CVE-2021-40711)

- Adobe Experience Managerバージョン6.5.9.0 (およびそれ以前 ) は、パスパラメーターを介した不適切な入力検証の脆弱性の影響を受けます。認証された攻撃者が、無効な形式のPOSTリクエストを送信して、サーバー側のサービス拒否を引き起こす可能性があります。 (CVE-2021-40712 )

- Adobe Experience Manager バージョン 6.5.9.0(およびそれ以前 ) は、セキュリティ機能のバイパスにつながる不適切なアクセスコントロールの脆弱性の影響を受けます。リファラーヘッダーを操作することで、認証されていない攻撃者が、アクセスが承認されていない任意のページにアクセスする可能性があります。(CVE-2021-42725)

- AEMのCloud Service製品、およびバージョン6.5.7.0（およびそれ以前）、6.4.8.3（およびそれ以前）、6.3.3.8 （およびそれ以前）は、蓄積型クロスサイトスクリプティング（XSS）の脆弱性の影響を受けます。攻撃者がこれを悪用し、脆弱なフォームフィールドに悪意のあるスクリプトを注入する可能性があります。被害者が脆弱なフィールドを含むページを閲覧するとき、悪意のある JavaScript が被害者のブラウザで実行される可能性があります。 (CVE-2021-43761)

Nessus はこの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。