检测

Adobe Experience Manager 6.5.0.0 < 6.5.10.0 多个漏洞 (APSB21-82)

medium Nessus 插件 ID 153399

语言:

简介

远程主机上安装的 Adobe Experience Manager 实例受到多个漏洞的影响。

描述

远程主机上安装的 Adobe Experience Manager 版本低于测试版本。因此,该应用程序受到 apsb21-82 公告中提及的多个漏洞的影响。

 - Adobe Experience Manager 版本 6.5.9.0(及更早版本)通过 accesskey 参数受到反射型跨站脚本 (XSS) 漏洞的影响。如果攻击者能够诱使受害者访问引用易受攻击页面的 URL,则可能在受害者浏览器的上下文中执行恶意 JavaScript 内容 (CVE-2021-40714)

 - Adobe Experience Manager 版本 6.5.9.0(及更早版本)在创建内容片段时受到存储型 XSS 漏洞的影响。经过身份验证的攻击者可发送畸形 POST 请求以执行任意代码。当受害者浏览至含有易受攻击的字段的页面时,就可能会在其浏览器中执行恶意 JavaScript。(CVE-2021-40711)

 - Adobe Experience Manager 版本 6.5.9.0(及更早版本)通过路径参数受到输入验证不当漏洞的影响。经过身份验证的攻击者可以发送畸形 POST 请求以实现服务器端拒绝服务。(CVE-2021-40712)

 - Adobe Experience Manager 版本 6.5.9.0(及更早版本)受到冷存储组件中证书验证不当漏洞的影响。如果攻击者可以在冷服务器建立新证书时获得中间人,便能够获取敏感信息。
 (CVE-2021-40713)

请注意,Nessus 尚未测试此问题,而是只依靠应用程序自我报告的版本号来判断。

解决方案

升级至 Adobe Experience Manager 版本 6.5.10.0 或更高版本。

另见

https://cwe.mitre.org/data/definitions/20.html

https://cwe.mitre.org/data/definitions/79.html

https://cwe.mitre.org/data/definitions/295.html

http://www.nessus.org/u?4321e544

插件详情

严重性: Medium

ID: 153399

文件名: adobe_experience_manager_apsb21-82.nasl

版本: 1.6

类型: remote

系列: Misc.

发布时间: 2021/9/15

最近更新时间: 2022/1/26

支持的传感器: Nessus

风险信息

VPR

风险因素: Low

分数: 3.6

CVSS v2

风险因素: Medium

基本分数: 4.3

时间分数: 3.2

矢量: CVSS2#AV:N/AC:M/Au:N/C:N/I:P/A:N

CVSS 分数来源: CVE-2021-40714

CVSS v3

风险因素: Medium

基本分数: 6.1

时间分数: 5.3

矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N

时间矢量: CVSS:3.0/E:U/RL:O/RC:C

漏洞信息

CPE: cpe:/a:adobe:experience_manager

必需的 KB 项: installed_sw/Adobe Experience Manager

易利用性: No known exploits are available

补丁发布日期: 2021/9/14

漏洞发布日期: 2021/9/14

参考资料信息

CVE: CVE-2021-40711, CVE-2021-40712, CVE-2021-40713, CVE-2021-40714

CWE: 20, 295, 79

IAVA: 2021-A-0418-S