Bulletin de sécurité Adobe

Mises à jour de sécurité disponibles pour Adobe Experience Manager | APSB20-56

Référence du bulletin

Date de publication

Priorité 

APSB20-56 

8 septembre 2020 

2

Récapitulatif

Adobe a publié des mises à jour pour Adobe Experience Manager (AEM) et le package de modules complémentaires AEM Forms. Ces mises à jour corrigent des vulnérabilités jugées critiques et importantes.L’exploitation réussie de ces vulnérabilités pourrait entraîner l’exécution arbitraire de code JavaScript dans le navigateur.


Versions concernées

Produit Version  Plate-forme
Adobe Experience Manager
6.5.5.0 et versions antérieures
Toutes
Versions 6.4.8.1 et antérieures 
Toutes 
Versions 6.3.3.8 et antérieures 
Toutes 
6.2 SP1-CFP20 et versions antérieures 
Toutes 
Module complémentaire AEM Forms 
AEM Forms Service Pack 5 et versions antérieures 
Toutes 

Solution

Adobe attribue à ces mises à jour les priorités suivantes et recommande aux utilisateurs concernés de mettre à jour leurs installations avec les dernières versions des logiciels :

Produit

Version 

Plate-forme

Priorité 

Disponibilité

 

Adobe Experience Manager (AEM) 

6.5.6.0 

Toutes

2

Notes de mise à jour Service Pack pour AEM 6.5

6.4.8.2 

Toutes

2

Notes de mise à jour Pack cumulatif de correctifs pour AEM 6.4  

Module complémentaire AEM Forms
AEM Forms Service Pack 6
Toutes
2
Versions AEM Forms 
Remarque :

Adobe Experience Manager 6.5.6.0 représente une mise à jour importante. Elle comprend de nouvelles fonctionnalités, des améliorations demandées par des clients clés, ainsi que des améliorations liées aux performances, à la stabilité et à la sécurité publiées depuis le lancement de la version 6.5 en avril 2019.  Elle peut être installée en plus d’Adobe Experience Manager 6.5.

Remarque :

Le pack cumulatif de correctifs 6.4.8.2 pour AEM représente une mise à jour importante qui comprend plusieurs corrections internes et clients depuis le lancement d’AEM 6.4 Service Pack 8 (6.4.8.0) en mars 2020. Le pack cumulatif de correctifs 6.4.8.2 pour AEM dépend d’AEM 6.4 Service Pack 8. Par conséquent, vous devez installer ce pack après avoir installé AEM 6.4 Service Pack 8.

Remarque :

Veuillez contacter l’Assistance clientèle d’Adobe pour obtenir de l’aide sur les versions 6.2 et 6.3 d’AEM.

Détails concernant la vulnérabilité

Catégorie de la vulnérabilité

Impact de la vulnérabilité

Gravité

Référence CVE 

Versions concernées
Cross-site scripting (XSS stocké)
Exécution arbitraire de code JavaScript dans le navigateur
Critique
CVE-2020-9732

AEM Forms SP5 et versions antérieures

Exécution avec privilèges inutiles
Divulgation d’informations confidentielles Important
CVE-2020-9733

AEM 6.5.5.0 et versions antérieures

AEM 6.4.8.1 et versions antérieures

Cross-site scripting (XSS stocké)
Exécution arbitraire de code JavaScript dans le navigateur
Critique
CVE-2020-9734
AEM Forms SP5 et versions antérieures
Cross-site scripting (XSS stocké)
Exécution arbitraire de code JavaScript dans le navigateur
Important
CVE-2020-9735

AAEM 6.5.5.0 et versions antérieures

AEM 6.4.8.1 et versions antérieures

AEM 6.3.3.8 et versions antérieures

AEM 6.2 SP1-CFP20 et versions antérieures

Cross-site scripting (XSS stocké)
Exécution arbitraire de code JavaScript dans le navigateur
Important
CVE-2020-9736

AEM 6.5.5.0 et versions antérieures

AEM 6.4.8.1 et versions antérieures

AEM 6.3.3.8 et versions antérieures

AEM 6.2 SP1-CFP20 et versions antérieures

Cross-site scripting (XSS stocké)
Exécution arbitraire de code JavaScript dans le navigateur
Important
CVE-2020-9737

AEM 6.5.5.0 et versions antérieures

AEM 6.4.8.1 et versions antérieures

AEM 6.3.3.8 et versions antérieures

AEM 6.2 SP1-CFP20 et versions antérieures

Cross-site scripting (XSS stocké)
Exécution arbitraire de code JavaScript dans le navigateur
Important

CVE-2020-9738

AEM 6.5.5.0 et versions antérieures

AEM 6.4.8.1 et versions antérieures

AEM 6.3.3.8 et versions antérieures

AEM 6.2 SP1-CFP20 et versions antérieures

Cross-site scripting (XSS stocké)
Exécution arbitraire de code JavaScript dans le navigateur
Critique
CVE-2020-9740

AEM 6.5.5.0 et versions antérieures

AEM 6.4.8.1 et versions antérieures

AEM 6.3.3.8 et versions antérieures

AEM 6.2 SP1-CFP20 et versions antérieures

Cross-site scripting (XSS stocké)
Exécution arbitraire de code JavaScript dans le navigateur
Critique
CVE-2020-9741
AEM Forms SP5 et versions antérieures
Cross-site scripting (XSS réfléchi)
Exécution arbitraire de code JavaScript dans le navigateur
Critique
CVE-2020-9742

AEM 6.5.5.0 et versions antérieures

AEM 6.4.8.1 et versions antérieures

AEM 6.3.3.8 et versions antérieures

Injection de HTML
Injection arbitraire de code HTML dans le navigateur
Important
CVE-2020-9743

AEM 6.5.5.0 et versions antérieures

AEM 6.4.8.1 et versions antérieures

AEM 6.3.3.8 et versions antérieures

AEM 6.2 SP1-CFP20 et versions antérieures

Mises à jour des dépendances

Dépendance

Impact de la vulnérabilité

Versions concernées

Handlebars.js

Exécution arbitraire de code JavaScript dans le navigateur

AEM 6.5.5.0 et versions antérieures

AEM 6.4.8.1 et versions antérieures

AEM 6.3.3.8 et versions antérieures

AEM 6.2 SP1-CFP20 et versions antérieures

Lodash.js (supprimé d’AEM)

Pollution des prototypes

AEM 6.5.5.0 et versions antérieures

AEM 6.4.8.1 et versions antérieures

AEM 6.3.3.8 et versions antérieures

AEM 6.2 SP1-CFP20 et versions antérieures

Log4j

Désérialisation de données non approuvées

AEM 6.5.5.0 et versions antérieures

AEM 6.4.8.1 et versions antérieures

AEM 6.3.3.8 et versions antérieures

AEM 6.2 SP1-CFP20 et versions antérieures

Dom4j

Injection de XXE (Entités XML externes)

AEM 6.5.5.0 et versions antérieures

AEM 6.4.8.1 et versions antérieures

AEM 6.3.3.8 et versions antérieures

AEM 6.2 SP1-CFP20 et versions antérieures

Logo Adobe

Accéder à votre compte

[Feedback V2 Badge]