Bulletin-ID
Zuletzt aktualisiert am
1. Mai 2021
Sicherheits-Updates für Adobe Experience Manager verfügbar | APSB20-56
|
|
Veröffentlichungsdatum |
Priorität |
|---|---|---|
|
APSB20-56 |
8. September 2020 |
2 |
Zusammenfassung
Adobe hat Updates für Adobe Experience Manager (AEM) und das AEM Forms-Add-on-Paket veröffentlicht. Diese Updates schließen Schwachstellen, die als kritisch und wichtig eingestuft wurden.Eine erfolgreiche Nutzung dieser Schwachstellen könnte zu einer willkürlichen Ausführung von JavaScript im Browser führen.
Betroffene Produktversionen
| Produkt | Version | Plattform |
|---|---|---|
| Adobe Experience Manager |
6.5.5.0 und frühere Versionen |
Alle |
| 6.4.8.1 und frühere Versionen |
Alle |
|
| 6.3.3.8 und frühere Versionen |
Alle |
|
| 6.2 SP1-CFP20 und frühere Versionen |
Alle |
|
| AEM Forms-Add-on |
AEM Forms Service Pack 5 und frühere Versionen |
Alle |
Lösung
Adobe empfiehlt allen Anwendern die Installation der neuesten Version und stuft die Priorität dieser Updates wie folgt ein:
Produkt |
Version |
Plattform |
Priorität |
Verfügbarkeit |
|---|---|---|---|---|
Adobe Experience Manager (AEM) |
6.5.6.0 |
Alle |
2 |
AEM 6.5 Service Pack – Versionshinweise |
6.4.8.2 |
Alle |
2 |
||
| AEM Forms-Add-on |
AEM Forms Service Pack 6 |
Alle |
2 |
AEM Forms-Versionen |
Hinweis:
Adobe Experience Manager 6.5.6.0 ist ein wichtiges Update, das neue Funktionen, wichtige von Kunden angeforderte Verbesserungen sowie Leistungs-, Stabilitäts- und Sicherheitsverbesserungen umfasst, die seit der allgemeinen Verfügbarkeit der Version 6.5 im April 2019 veröffentlicht wurden. Es kann auf Adobe Experience Manager 6.5 installiert werden.
Hinweis:
AEM Cumulative Fix Pack 6.4.8.2 ist ein wichtiges Update, das seit der allgemeinen Verfügbarkeit von AEM 6.4 Service Pack 8 (6.4.8.0) im März 2020 mehrere interne und Kundenkorrekturen enthält. AEM Cumulative Fix Pack 6.4.8.2 ist von AEM 6.4 Service Pack 8 abhängig. Daher müssen Sie das AEM Cumulative Fix Pack 6.4.8.2-Paket nach der Installation von AEM 6.4 Service Pack 8 installieren.
Hinweis:
Bitte wenden Sie sich für Hilfe mit den AEM-Versionen 6.3 und 6.2 an die Adobe Kundenunterstützung.
Sicherheitslückendetails
| Sicherheitslückenkategorie |
Sicherheitslückenauswirkung |
Problemstufe |
CVE-Nummer |
Betroffene Versionen |
|---|---|---|---|---|
| Cross-Site-Scripting (gespeichert) |
Willkürliche JavaScript-Ausführung im Browser |
Kritisch |
CVE-2020-9732 | AEM Forms SP5 und früher |
| Ausführung mit unnötigen Rechten |
Offenlegung vertraulicher Informationen | Wichtig |
CVE-2020-9733 |
AEM 6.5.5.0 und früher AEM 6.4.8.1 und früher |
| Cross-Site-Scripting (gespeichert) |
Willkürliche JavaScript-Ausführung im Browser |
Kritisch |
CVE-2020-9734 |
AEM Forms SP5 und früher |
| Cross-Site-Scripting (gespeichert) |
Willkürliche JavaScript-Ausführung im Browser |
Wichtig |
CVE-2020-9735 |
AAEM 6.5.5.0 und früher AEM 6.4.8.1 und früher AEM 6.3.3.8 und früher AEM 6.2 SP1-CFP20 und früher |
| Cross-Site-Scripting (gespeichert) |
Willkürliche JavaScript-Ausführung im Browser |
Wichtig |
CVE-2020-9736 |
AEM 6.5.5.0 und früher AEM 6.4.8.1 und früher AEM 6.3.3.8 und früher AEM 6.2 SP1-CFP20 und früher |
| Cross-Site-Scripting (gespeichert) |
Willkürliche JavaScript-Ausführung im Browser |
Wichtig |
CVE-2020-9737 |
AEM 6.5.5.0 und früher AEM 6.4.8.1 und früher AEM 6.3.3.8 und früher AEM 6.2 SP1-CFP20 und früher |
| Cross-Site-Scripting (gespeichert) |
Willkürliche JavaScript-Ausführung im Browser |
Wichtig |
CVE-2020-9738 |
AEM 6.5.5.0 und früher AEM 6.4.8.1 und früher AEM 6.3.3.8 und früher AEM 6.2 SP1-CFP20 und früher |
| Cross-Site-Scripting (gespeichert) |
Willkürliche JavaScript-Ausführung im Browser |
Kritisch |
CVE-2020-9740 |
AEM 6.5.5.0 und früher AEM 6.4.8.1 und früher AEM 6.3.3.8 und früher AEM 6.2 SP1-CFP20 und früher |
| Cross-Site-Scripting (gespeichert) |
Willkürliche JavaScript-Ausführung im Browser |
Kritisch |
CVE-2020-9741 |
AEM Forms SP5 und früher |
| Cross-Site-Scripting (reflektiert) |
Willkürliche JavaScript-Ausführung im Browser |
Kritisch |
CVE-2020-9742 |
AEM 6.5.5.0 und früher AEM 6.4.8.1 und früher AEM 6.3.3.8 und früher |
| HTML-Injektion |
Beliebige HTML-Injektion im Browser |
Wichtig |
CVE-2020-9743 |
AEM 6.5.5.0 und früher AEM 6.4.8.1 und früher AEM 6.3.3.8 und früher AEM 6.2 SP1-CFP20 und früher |
Updates für Abhängigkeiten
|
Abhängigkeit |
Sicherheitslückenauswirkung |
Betroffene Versionen |
|
Handlebars.js |
Willkürliche JavaScript-Ausführung im Browser |
AEM 6.5.5.0 und früher AEM 6.4.8.1 und früher AEM 6.3.3.8 und früher AEM 6.2 SP1-CFP20 und früher |
|
Lodash.js (aus AEM entfernt) |
Verunreinigung durch Prototypen |
AEM 6.5.5.0 und früher AEM 6.4.8.1 und früher AEM 6.3.3.8 und früher AEM 6.2 SP1-CFP20 und früher |
|
Log4j |
Deserialisierung nicht vertrauenswürdiger Daten |
AEM 6.5.5.0 und früher AEM 6.4.8.1 und früher AEM 6.3.3.8 und früher AEM 6.2 SP1-CFP20 und früher |
|
Dom4j |
XXE-Injektion (Xml eXternal Entity) |
AEM 6.5.5.0 und früher AEM 6.4.8.1 und früher AEM 6.3.3.8 und früher AEM 6.2 SP1-CFP20 und früher |
