ID do boletim
Última atualização em
4 de mai de 2021
Atualizações de segurança disponíveis para o Adobe Experience Manager | APSB20-56
|
|
Data de publicação |
Prioridade |
|---|---|---|
|
APSB20-56 |
8 de setembro de 2020 |
2 |
Resumo
A Adobe lançou atualizações para o Adobe Experience Manager (AEM) e para o pacote de complementos AEM Forms. Essas atualizações resolvem vulnerabilidades de classificação Crítica e Importante.Essas vulnerabilidades podem ser exploradas com êxito e resultar em uma execução arbitrária do JavaScript no navegador.
Versões do produto afetado
| Produto | Versão | Plataforma |
|---|---|---|
| Adobe Experience Manager |
6.5.5.0 e versões anteriores |
Todos |
| 6.4.8.1 e versões anteriores |
Todos |
|
| 6.3.3.8 e versões anteriores |
Todos |
|
| 6.2 SP1-CFP20 e versões anteriores |
Todos |
|
| Complemento AEM Forms |
AEM Forms Service Pack 5 e versões anteriores |
Todos |
Solução
A Adobe categoriza essas atualizações com as seguintes classificações de prioridade e recomenda que os usuários atualizem suas instalações para as versões mais recentes:
Produto |
Versão |
Plataforma |
Prioridade |
Disponibilidade |
|---|---|---|---|---|
Adobe Experience Manager (AEM) |
6.5.6.0 |
Todos |
2 |
Notas de versão do AEM 6.5 Service Pack |
6.4.8.2 |
Todos |
2 |
||
| Complemento AEM Forms |
AEM Forms Service Pack 6 |
Todos |
2 |
Versões do AEM Forms |
Observação:
A versão 6.5.6.0 do Adobe Experience Manager é uma atualização importante da versão 6.5, disponibilizada em abril de 2019. Ela inclui novos recursos, aprimoramentos essenciais solicitados pelo cliente e melhorias de desempenho, estabilidade e segurança. Ela pode ser instalada no Adobe Experience Manager 6.5.
Observação:
O AEM Cumulative Fix Pack 6.4.8.2 é uma atualização importante que inclui várias correções internas e de clientes desde a disponibilização do AEM 6.4 Service Pack 8 (6.4.8.0) em março de 2020. O AEM Cumulative Fix Pack 6.4.8.2 depende do AEM 6.4 Service Pack 8. Portanto, você deve instalar o pacote AEM Cumulative Fix Pack 6.4.8.2 depois de instalar o AEM 6.4 Service Pack 8.
Observação:
Entre em contato com o Atendimento ao cliente da Adobe para obter assistência com as versões 6.3 e 6.2 do AEM.
Detalhes da vulnerabilidade
| Categoria da vulnerabilidade |
Impacto da vulnerabilidade |
Severidade |
Número CVE |
Versões afetadas |
|---|---|---|---|---|
| Criação de script entre sites (armazenado) |
Execução arbitrária de JavaScript no navegador |
Crítico |
CVE-2020-9732 | AEM Forms SP5 e anteriores |
| Execução com privilégios desnecessários |
Divulgação de informações confidenciais | Importante |
CVE-2020-9733 |
AEM 6.5.5.0 e anteriores AEM 6.4.8.1 e anteriores |
| Criação de script entre sites (armazenado) |
Execução arbitrária de JavaScript no navegador |
Crítico |
CVE-2020-9734 |
AEM Forms SP5 e anteriores |
| Criação de script entre sites (armazenado) |
Execução arbitrária de JavaScript no navegador |
Importante |
CVE-2020-9735 |
AEM 6.5.5.0 e anteriores AEM 6.4.8.1 e anteriores AEM 6.3.3.8 e anteriores AEM 6.2 SP1-CFP20 e anteriores |
| Criação de script entre sites (armazenado) |
Execução arbitrária de JavaScript no navegador |
Importante |
CVE-2020-9736 |
AEM 6.5.5.0 e anteriores AEM 6.4.8.1 e anteriores AEM 6.3.3.8 e anteriores AEM 6.2 SP1-CFP20 e anteriores |
| Criação de script entre sites (armazenado) |
Execução arbitrária de JavaScript no navegador |
Importante |
CVE-2020-9737 |
AEM 6.5.5.0 e anteriores AEM 6.4.8.1 e anteriores AEM 6.3.3.8 e anteriores AEM 6.2 SP1-CFP20 e anteriores |
| Criação de script entre sites (armazenado) |
Execução arbitrária de JavaScript no navegador |
Importante |
CVE-2020-9738 |
AEM 6.5.5.0 e anteriores AEM 6.4.8.1 e anteriores AEM 6.3.3.8 e anteriores AEM 6.2 SP1-CFP20 e anteriores |
| Criação de script entre sites (armazenado) |
Execução arbitrária de JavaScript no navegador |
Crítico |
CVE-2020-9740 |
AEM 6.5.5.0 e anteriores AEM 6.4.8.1 e anteriores AEM 6.3.3.8 e anteriores AEM 6.2 SP1-CFP20 e anteriores |
| Criação de script entre sites (armazenado) |
Execução arbitrária de JavaScript no navegador |
Crítico |
CVE-2020-9741 |
AEM Forms SP5 e anteriores |
| Criação de script entre sites (refletido) |
Execução arbitrária de JavaScript no navegador |
Crítico |
CVE-2020-9742 |
AEM 6.5.5.0 e anteriores AEM 6.4.8.1 e anteriores AEM 6.3.3.8 e anteriores |
| Injeção de HTML |
Injeção de HTML arbitrária no navegador |
Importante |
CVE-2020-9743 |
AEM 6.5.5.0 e anteriores AEM 6.4.8.1 e anteriores AEM 6.3.3.8 e anteriores AEM 6.2 SP1-CFP20 e anteriores |
Atualizações das dependências
|
Dependência |
Impacto da vulnerabilidade |
Versões afetadas |
|
Handlebars.js |
Execução arbitrária de JavaScript no navegador |
AEM 6.5.5.0 e anteriores AEM 6.4.8.1 e anteriores AEM 6.3.3.8 e anteriores AEM 6.2 SP1-CFP20 e anteriores |
|
Lodash.js (removido do AEM) |
Poluição de protótipo |
AEM 6.5.5.0 e anteriores AEM 6.4.8.1 e anteriores AEM 6.3.3.8 e anteriores AEM 6.2 SP1-CFP20 e anteriores |
|
Log4j |
Cancelamento de serialização de dados não confiáveis |
AEM 6.5.5.0 e anteriores AEM 6.4.8.1 e anteriores AEM 6.3.3.8 e anteriores AEM 6.2 SP1-CFP20 e anteriores |
|
Dom4j |
Injeção de XXE (Xml eXternal Entity) |
AEM 6.5.5.0 e anteriores AEM 6.4.8.1 e anteriores AEM 6.3.3.8 e anteriores AEM 6.2 SP1-CFP20 e anteriores |
