Boletim de segurança da Adobe

Atualizações de segurança disponíveis para o Adobe Experience Manager | APSB20-56

ID do boletim

Data de publicação

Prioridade

APSB20-56 

8 de setembro de 2020 

2

Resumo

A Adobe lançou atualizações para o Adobe Experience Manager (AEM) e para o pacote de complementos AEM Forms. Essas atualizações resolvem vulnerabilidades de classificação Crítica e Importante.Essas vulnerabilidades podem ser exploradas com êxito e resultar em uma execução arbitrária do JavaScript no navegador.


Versões do produto afetado

Produto Versão Plataforma
Adobe Experience Manager
6.5.5.0 e versões anteriores 
Todos
6.4.8.1 e versões anteriores 
Todos 
6.3.3.8 e versões anteriores 
Todos 
6.2 SP1-CFP20 e versões anteriores 
Todos 
Complemento AEM Forms 
AEM Forms Service Pack 5 e versões anteriores 
Todos 

Solução

A Adobe categoriza essas atualizações com as seguintes classificações de prioridade e recomenda que os usuários atualizem suas instalações para as versões mais recentes:

Produto

Versão

Plataforma

Prioridade

Disponibilidade

 

Adobe Experience Manager (AEM) 

6.5.6.0 

Todos

2

Notas de versão do AEM 6.5 Service Pack   

6.4.8.2 

Todos

2

Notas de versão do AEM 6.4 Cumulative Fix Pack  

Complemento AEM Forms
AEM Forms Service Pack 6
Todos
2
Versões do AEM Forms 
Observação:

A versão 6.5.6.0 do Adobe Experience Manager é uma atualização importante da versão 6.5, disponibilizada em abril de 2019. Ela inclui novos recursos, aprimoramentos essenciais solicitados pelo cliente e melhorias de desempenho, estabilidade e segurança.  Ela pode ser instalada no Adobe Experience Manager 6.5.

Observação:

O AEM Cumulative Fix Pack 6.4.8.2 é uma atualização importante que inclui várias correções internas e de clientes desde a disponibilização do AEM 6.4 Service Pack 8 (6.4.8.0) em março de 2020. O AEM Cumulative Fix Pack 6.4.8.2 depende do AEM 6.4 Service Pack 8. Portanto, você deve instalar o pacote AEM Cumulative Fix Pack 6.4.8.2 depois de instalar o AEM 6.4 Service Pack 8.

Observação:

Entre em contato com o Atendimento ao cliente da Adobe para obter assistência com as versões 6.3 e 6.2 do AEM.

Detalhes da vulnerabilidade

Categoria da vulnerabilidade

Impacto da vulnerabilidade

Severidade

Número CVE 

Versões afetadas
Criação de script entre sites (armazenado)
Execução arbitrária de JavaScript no navegador
Crítico
CVE-2020-9732

AEM Forms SP5 e anteriores

Execução com privilégios desnecessários
Divulgação de informações confidenciais Importante
CVE-2020-9733

AEM 6.5.5.0 e anteriores

AEM 6.4.8.1 e anteriores

Criação de script entre sites (armazenado)
Execução arbitrária de JavaScript no navegador
Crítico
CVE-2020-9734
AEM Forms SP5 e anteriores
Criação de script entre sites (armazenado)
Execução arbitrária de JavaScript no navegador
Importante
CVE-2020-9735

AEM 6.5.5.0 e anteriores

AEM 6.4.8.1 e anteriores

AEM 6.3.3.8 e anteriores

AEM 6.2 SP1-CFP20 e anteriores

Criação de script entre sites (armazenado)
Execução arbitrária de JavaScript no navegador
Importante
CVE-2020-9736

AEM 6.5.5.0 e anteriores

AEM 6.4.8.1 e anteriores

AEM 6.3.3.8 e anteriores

AEM 6.2 SP1-CFP20 e anteriores

Criação de script entre sites (armazenado)
Execução arbitrária de JavaScript no navegador
Importante
CVE-2020-9737

AEM 6.5.5.0 e anteriores

AEM 6.4.8.1 e anteriores

AEM 6.3.3.8 e anteriores

AEM 6.2 SP1-CFP20 e anteriores

Criação de script entre sites (armazenado)
Execução arbitrária de JavaScript no navegador
Importante

CVE-2020-9738

AEM 6.5.5.0 e anteriores

AEM 6.4.8.1 e anteriores

AEM 6.3.3.8 e anteriores

AEM 6.2 SP1-CFP20 e anteriores

Criação de script entre sites (armazenado)
Execução arbitrária de JavaScript no navegador
Crítico
CVE-2020-9740

AEM 6.5.5.0 e anteriores

AEM 6.4.8.1 e anteriores

AEM 6.3.3.8 e anteriores

AEM 6.2 SP1-CFP20 e anteriores

Criação de script entre sites (armazenado)
Execução arbitrária de JavaScript no navegador
Crítico
CVE-2020-9741
AEM Forms SP5 e anteriores
Criação de script entre sites (refletido)
Execução arbitrária de JavaScript no navegador
Crítico
CVE-2020-9742

AEM 6.5.5.0 e anteriores

AEM 6.4.8.1 e anteriores

AEM 6.3.3.8 e anteriores

Injeção de HTML
Injeção de HTML arbitrária no navegador
Importante
CVE-2020-9743

AEM 6.5.5.0 e anteriores

AEM 6.4.8.1 e anteriores

AEM 6.3.3.8 e anteriores

AEM 6.2 SP1-CFP20 e anteriores

Atualizações das dependências

Dependência

Impacto da vulnerabilidade

Versões afetadas

Handlebars.js

Execução arbitrária de JavaScript no navegador

AEM 6.5.5.0 e anteriores

AEM 6.4.8.1 e anteriores

AEM 6.3.3.8 e anteriores

AEM 6.2 SP1-CFP20 e anteriores

Lodash.js (removido do AEM)

Poluição de protótipo

AEM 6.5.5.0 e anteriores

AEM 6.4.8.1 e anteriores

AEM 6.3.3.8 e anteriores

AEM 6.2 SP1-CFP20 e anteriores

Log4j

Cancelamento de serialização de dados não confiáveis

AEM 6.5.5.0 e anteriores

AEM 6.4.8.1 e anteriores

AEM 6.3.3.8 e anteriores

AEM 6.2 SP1-CFP20 e anteriores

Dom4j

Injeção de XXE (Xml eXternal Entity)

AEM 6.5.5.0 e anteriores

AEM 6.4.8.1 e anteriores

AEM 6.3.3.8 e anteriores

AEM 6.2 SP1-CFP20 e anteriores

 Adobe

Receba ajuda com mais rapidez e facilidade

Novo usuário?