Référence du bulletin
Mises à jour de sécurité disponibles pour Adobe Experience Manager | APSB19-48
|
Date de publication |
Priorité |
---|---|---|
APSB19-48 |
15 octobre 2019 |
2 |
Récapitulatif
Adobe a publié des mises à jour de sécurité pour Adobe Experience Manager (AEM). Ces mises à jour corrigent plusieurs vulnérabilités dans les versions 6.3, 6.4 et 6.5 d’AEM. Si elles sont exploitées, un pirate pourrait obtenir un accès non autorisé à l’environnement AEM.
Versions concernées
Produit |
Version |
Plate-forme |
---|---|---|
Adobe Experience Manager |
6.5 6.4 6.3 6.2 6.1 6.0 |
Toutes |
Solution
Adobe attribue à ces mises à jour les priorités suivantes et recommande aux utilisateurs concernés de mettre à jour leurs installations avec les dernières versions des logiciels :
Produit |
Version |
Plate-forme |
Priorité |
Disponibilité |
---|---|---|---|---|
Adobe Experience Manager |
6.5 |
Toutes |
2 |
|
6.4 |
Toutes |
2 |
||
6.3 |
Toutes |
2 |
Veuillez contacter l’assistance clientèle d’Adobe pour obtenir de l’aide concernant les versions antérieures d’AEM.
Détails concernant la vulnérabilité
Catégorie de la vulnérabilité |
Impact de la vulnérabilité |
Gravité |
Référence CVE |
Versions concernées | Télécharger le package |
---|---|---|---|---|---|
Cross-site request forgery | Divulgation d’informations confidentielles | Importante | CVE-2019-8234
|
AEM 6.2 AEM 6.3 AEM 6.4 |
|
Cross-site scripting (XSS) réfléchi | Divulgation d’informations confidentielles
|
Modéré | CVE-2019-8078 | AEM 6.2 AEM 6.3 AEM 6.4 |
|
Cross-site scripting (XSS) stocké | Divulgation d’informations confidentielles | Importante | CVE-2019-8079 | AEM 6.0 AEM 6.1 AEM 6.2 AEM 6.3 AEM 6.4 |
|
Cross-site scripting (XSS) stocké | Réaffectation de privilèges | Important | CVE-2019-8080
|
AEM 6.3 AEM 6.4 |
|
Contournement d’authentification
|
Divulgation d’informations confidentielles | Importante | CVE-2019-8081 | AEM 6.2 AEM 6.3 AEM 6.4 AEM 6.5 |
Pack cumulatif de correctifs pour 6.3 SP3 – AEM-6.3.3.6 |
Injection d’entités XML externes | Divulgation d’informations confidentielles
|
Importante | CVE-2019-8082 | AEM 6.2 AEM 6.3 AEM 6.4 |
|
Cross-site scripting (XSS) | Divulgation d’informations confidentielles
|
Modéré
|
CVE-2019-8083
|
AEM 6.3 AEM 6.4 AEM 6.5 |
Pack cumulatif de correctifs pour 6.3 SP3 – AEM-6.3.3.6 |
Cross-site scripting (XSS) réfléchi | Divulgation d’informations confidentielles
|
Modéré
|
CVE-2019-8084
|
AEM 6.2 AEM 6.3 AEM 6.4 AEM 6.5 |
Pack cumulatif de correctifs pour 6.3 SP3 – AEM-6.3.3.6 |
Cross-site scripting (XSS) réfléchi
|
Divulgation d’informations confidentielles
|
Modéré
|
CVE-2019-8085
|
AEM 6.2 AEM 6.3 AEM 6.4 AEM 6.5 |
Pack cumulatif de correctifs pour 6.3 SP3 – AEM-6.3.3.6 |
Injection d’entités XML externes
|
Divulgation d’informations confidentielles
|
Importante
|
CVE-2019-8086
|
AEM 6.2 AEM 6.3 AEM 6.4 AEM 6.5
|
Pack cumulatif de correctifs pour 6.3 SP3 – AEM-6.3.3.6 |
Injection d’entités XML externes
|
Divulgation d’informations confidentielles
|
Importante
|
CVE-2019-8087
|
AEM 6.2 AEM 6.3 AEM 6.4 AEM 6.5 |
Pack cumulatif de correctifs pour 6.3 SP3 – AEM-6.3.3.6 |
Injection de code JavaScript
|
Exécution de code arbitraire
|
Critique
|
CVE-2019-8088*
|
AEM 6.2 AEM 6.3 AEM 6.4 AEM 6.5
|
Pack cumulatif de correctifs pour 6.3 SP3 – AEM-6.3.3.6 |
L’exécution de code JavaScript (CVE-2019-8088) n’affecte que la version 6.2. À partir de la version 6.3, le moteur Rhino (strictement placé en bac à sable) est utilisé pour exécuter JavaScript. La vulnérabilité CVE-2019-8088 ne peut plus vraiment être exploitée par les attaques SSRF (Usurpation de requête côté serveur) et celles par déni de service (DoS).
Remarque : les packages répertoriés dans le tableau ci-dessus rassemblent les packs de correctifs de base pour corriger la vulnérabilité concernée. Pour obtenir les dernières versions, consultez les liens des notes de mise à jour indiqués ci-dessus.
Remerciements
Adobe tient à remercier les personnes et sociétés suivantes pour avoir signalé ces problèmes et joint leurs efforts aux nôtres pour protéger nos clients :
Lorenzo Pirondini (Netcentric, une filiale numérique de Cognizant) (CVE-2019-8078, CVE-2019-8079, CVE-2019-8080, CVE-2019-8083, CVE-2019-8084, CVE-2019-8085)
Pankaj Upadhyay de T. Rowe Price Associates, Inc. (https://pankajupadhyay.in) (CVE-2019-8081)
Mikhail Egorov @0ang3el (CVE-2019-8086, CVE-2019-8087, CVE-2019-8088)
Révision
15 octobre 2019 : référence CVE modifiée de CVE-2019-8077 à CVE-2019-8234.
11 mars 2020 : Ajout d’une note pour préciser que l’exécution de code JavaScript (CVE-2019-8088) n’a d’incidence que sur la version AEM 6.2.
Adobe
Recevez de l’aide plus rapidement et plus facilement
Nouvel utilisateur ?