Bulletin-id
Beveiligingsupdates beschikbaar voor Adobe Experience Manager | APSB20-56
|
Publicatiedatum |
Prioriteit |
---|---|---|
APSB20-56 |
8 september 2020 |
2 |
Samenvatting
Adobe heeft updates uitgebracht voor Adobe Experience Manager (AEM) en het invoegtoepassingenpakket voor AEM Forms. Deze updates verhelpen kritieke en belangrijke kwetsbaarheden.Misbruik van deze kwetsbaarheden kan leiden tot willekeurige JavaScript-uitvoering in de browser.
Van toepassing op de volgende productversies
Product | Versie | Platform |
---|---|---|
Adobe Experience Manager |
6.5.5.0 en eerdere versies |
Alles |
6.4.8.1 en eerdere versies |
Alles |
|
6.3.3.8 en eerdere versies |
Alles |
|
6.2 SP1-CFP20 en eerdere versies |
Alles |
|
Invoegtoepassing voor AEM Forms |
AEM Forms-servicepakket 5 en eerdere versies |
Alles |
Oplossing
Adobe heeft aan deze updates de volgende prioriteit toegekend en raadt gebruikers aan hun installatie bij te werken naar de recentste versies:
Product |
Versie |
Platform |
Prioriteit |
Beschikbaarheid |
---|---|---|---|---|
Adobe Experience Manager (AEM) |
6.5.6.0 |
Alles |
2 |
Release-opmerkingen bij AEM 6.5-servicepakket |
6.4.8.2 |
Alles |
2 |
Release-opmerkingen bij het cumulatief reparatiepakket voor AEM 6.4 |
|
Invoegtoepassing voor AEM Forms |
AEM Forms-servicepakket 6 |
Alles |
2 |
AEM Forms-releases |
Adobe Experience Manager 6.5.6.0 is een belangrijke update met nieuwe functies, belangrijke door de klant gevraagde verbeteringen en verbeteringen op het gebied van prestaties, stabiliteit en beveiliging die sinds de algemene beschikbaarheid van versie 6.5 in april 2019 zijn uitgebracht. De update kan over Adobe Experience Manager 6.5 heen worden geïnstalleerd.
Het cumulatief reparatiepakket 6.4.8.2 voor AEM is een belangrijke update die verschillende interne en klantenoplossingen omvat sinds de algemene beschikbaarheid van AEM 6.4-servicepakket 8 (6.4.8.0) in maart 2020. Het cumulatief reparatiepakket 6.4.8.2 voor AEM is afhankelijk van AEM 6.4-servicepakket 8. Daarom moet u het cumulatief reparatiepakket 6.4.8.2 voor AEM na installatie van AEM 6.4-servicepakket 8 installeren.
Neem contact op met de klantenservice van Adobe voor hulp bij versie 6.3 en 6.2 van AEM.
Details van kwetsbaarheid
Categorie van kwetsbaarheid |
Impact van kwetsbaarheid |
Ernst |
CVE-nummer |
Van toepassing op de volgende versies |
---|---|---|---|---|
Scripts die verwijzen naar andere sites (opgeslagen) |
Arbitraire uitvoering van JavaScript in de browser |
Kritiek |
CVE-2020-9732 | AEM Forms SP5 en eerder |
Uitvoering met onnodige rechten |
Openbaarmaking van gevoelige informatie | Belangrijk |
CVE-2020-9733 |
AEM 6.5.5.0 en eerdere versies AEM 6.4.8.1 en eerdere versies |
Scripts die verwijzen naar andere sites (opgeslagen) |
Arbitraire uitvoering van JavaScript in de browser |
Kritiek |
CVE-2020-9734 |
AEM Forms SP5 en eerder |
Scripts die verwijzen naar andere sites (opgeslagen) |
Arbitraire uitvoering van JavaScript in de browser |
Belangrijk |
CVE-2020-9735 |
AAEM 6.5.5.0 en eerder AEM 6.4.8.1 en eerdere versies AEM 6.3.3.8 en eerdere versies AEM 6.2 SP1-CFP20 en eerder |
Scripts die verwijzen naar andere sites (opgeslagen) |
Arbitraire uitvoering van JavaScript in de browser |
Belangrijk |
CVE-2020-9736 |
AEM 6.5.5.0 en eerdere versies AEM 6.4.8.1 en eerdere versies AEM 6.3.3.8 en eerdere versies AEM 6.2 SP1-CFP20 en eerder |
Scripts die verwijzen naar andere sites (opgeslagen) |
Arbitraire uitvoering van JavaScript in de browser |
Belangrijk |
CVE-2020-9737 |
AEM 6.5.5.0 en eerdere versies AEM 6.4.8.1 en eerdere versies AEM 6.3.3.8 en eerdere versies AEM 6.2 SP1-CFP20 en eerder |
Scripts die verwijzen naar andere sites (opgeslagen) |
Arbitraire uitvoering van JavaScript in de browser |
Belangrijk |
CVE-2020-9738 |
AEM 6.5.5.0 en eerdere versies AEM 6.4.8.1 en eerdere versies AEM 6.3.3.8 en eerdere versies AEM 6.2 SP1-CFP20 en eerder |
Scripts die verwijzen naar andere sites (opgeslagen) |
Arbitraire uitvoering van JavaScript in de browser |
Kritiek |
CVE-2020-9740 |
AEM 6.5.5.0 en eerdere versies AEM 6.4.8.1 en eerdere versies AEM 6.3.3.8 en eerdere versies AEM 6.2 SP1-CFP20 en eerder |
Scripts die verwijzen naar andere sites (opgeslagen) |
Arbitraire uitvoering van JavaScript in de browser |
Kritiek |
CVE-2020-9741 |
AEM Forms SP5 en eerder |
Scripts die verwijzen naar andere sites (gereflecteerd) |
Arbitraire uitvoering van JavaScript in de browser |
Kritiek |
CVE-2020-9742 |
AEM 6.5.5.0 en eerdere versies AEM 6.4.8.1 en eerdere versies AEM 6.3.3.8 en eerdere versies |
HTML-injectie |
Willekeurige HTML-injectie in de browser |
Belangrijk |
CVE-2020-9743 |
AEM 6.5.5.0 en eerdere versies AEM 6.4.8.1 en eerdere versies AEM 6.3.3.8 en eerdere versies AEM 6.2 SP1-CFP20 en eerder |
Updates voor afhankelijkheden
Afhankelijkheid |
Impact van kwetsbaarheid |
Van toepassing op de volgende versies |
Handlebars.js |
|
AEM 6.5.5.0 en eerdere versies AEM 6.4.8.1 en eerdere versies AEM 6.3.3.8 en eerdere versies AEM 6.2 SP1-CFP20 en eerder |
Lodash.js (verwijderd uit AEM) |
Prototypevervuiling |
AEM 6.5.5.0 en eerdere versies AEM 6.4.8.1 en eerdere versies AEM 6.3.3.8 en eerdere versies AEM 6.2 SP1-CFP20 en eerder |
Log4j |
Deserialisatie van onbetrouwbare data |
AEM 6.5.5.0 en eerdere versies AEM 6.4.8.1 en eerdere versies AEM 6.3.3.8 en eerdere versies AEM 6.2 SP1-CFP20 en eerder |
Dom4j |
XXE-injectie (Xml eXternal Entity) |
AEM 6.5.5.0 en eerdere versies AEM 6.4.8.1 en eerdere versies AEM 6.3.3.8 en eerdere versies AEM 6.2 SP1-CFP20 en eerder |