Bollettino sulla sicurezza di Adobe

Aggiornamenti di sicurezza disponibili per Adobe Experience Manager | APSB19-48

ID bollettino

Data di pubblicazione

Priorità

APSB19-48

15 ottobre 2019

2

Riepilogo

Adobe ha rilasciato aggiornamenti di sicurezza per Adobe Experience Manager (AEM). Questi aggiornamenti risolvono diverse vulnerabilità nelle versioni 6.3, 6.4 e 6.5 di AEM. Se sfruttate, tali vulnerabilità potrebbero consentire l'accesso non autorizzato all'ambiente AEM.

Versioni del prodotto interessate

Prodotto

Versione

Piattaforma

Adobe Experience Manager

6.5

6.4

6.3

6.2

6.1

6.0

Tutte

Soluzione

Adobe classifica questi aggiornamenti in base ai seguenti livelli di priorità e consiglia agli utenti interessati di aggiornare la propria installazione alla versione più recente:

Prodotto

Versione

Piattaforma

Priorità

Disponibilità

 

Adobe Experience Manager

6.5

Tutte

2

Versioni e aggiornamenti

6.4

Tutte

2

Versioni e aggiornamenti

6.3

Tutte

2

Versioni e aggiornamenti

Per ricevere assistenza sulle versioni di AEM precedenti, gli utenti possono contattare l'Assistenza clienti Adobe.

Dettagli della vulnerabilità

Categoria della vulnerabilità

Impatto della vulnerabilità

Gravità

Codice CVE 

Versioni interessate Pacchetto di download
Falsificazione della richiesta tra siti Divulgazione di informazioni riservate Importante

CVE-2019-8234

 

AEM 6.2

AEM 6.3

AEM 6.4

Pacchetto cumulativo di correzioni per 6.3 SP3 - AEM-6.3.3.6

Service Pack per 6.4 - AEM-6.4.6.0

Cross-site scripting di tipo reflected

Divulgazione di informazioni riservate

 

Moderata CVE-2019-8078

AEM 6.2

AEM 6.3

AEM 6.4

Pacchetto cumulativo di correzioni per 6.3 SP3 - AEM-6.3.3.6

Service Pack per 6.4 - AEM-6.4.6.0

Cross-site scripting memorizzato Divulgazione di informazioni riservate Importante CVE-2019-8079

AEM 6.0

AEM 6.1

AEM 6.2

AEM 6.3 

AEM 6.4

Pacchetto cumulativo di correzioni per 6.3 SP3 - AEM-6.3.3.6

Service Pack per 6.4 - AEM-6.4.4.0

Cross-site scripting memorizzato Acquisizione illecita di privilegi Importante 

CVE-2019-8080

 

AEM 6.3

AEM 6.4

Pacchetto cumulativo di correzioni per 6.3 SP3 - AEM-6.3.3.6

Service Pack per 6.4 - AEM-6.4.6.0

Aggiramento di autenticazione

 

 

Divulgazione di informazioni riservate Importante CVE-2019-8081

AEM 6.2

AEM 6.3

AEM 6.4

AEM 6.5 

Pacchetto cumulativo di correzioni per 6.3 SP3 - AEM-6.3.3.6

Service Pack per 6.4 - AEM-6.4.6.0

Service Pack per 6.5 - AEM-6.5.2.0 

Aggiunta dell'entità esterna XML

Divulgazione di informazioni riservate

 

Importante CVE-2019-8082

AEM 6.2

AEM 6.3 

AEM 6.4

Pacchetto cumulativo di correzioni per 6.3 SP3 - AEM-6.3.3.6

Service Pack per 6.4 - AEM-6.4.6.0

Cross-site scripting

Divulgazione di informazioni riservate

 

Moderata

 

CVE-2019-8083

 

AEM 6.3

AEM 6.4

AEM 6.5

Pacchetto cumulativo di correzioni per 6.3 SP3 - AEM-6.3.3.6

Service Pack per 6.4 - AEM-6.4.6.0

Service Pack per 6.5 - AEM-6.5.2.0 

Cross-site scripting di tipo reflected

Divulgazione di informazioni riservate

 

 

Moderata

 

 

 

 

CVE-2019-8084

 

 

AEM 6.2

AEM 6.3

AEM 6.4 

AEM 6.5

Pacchetto cumulativo di correzioni per 6.3 SP3 - AEM-6.3.3.6

Service Pack per 6.4 - AEM-6.4.5.0

Service Pack per 6.5 - AEM-6.5.2.0 

Cross-site scripting di tipo reflected

 

 

Divulgazione di informazioni riservate

 

 

Moderata

 

 

 

 

CVE-2019-8085

 

 

AEM 6.2

AEM 6.3

AEM 6.4 

AEM 6.5

Pacchetto cumulativo di correzioni per 6.3 SP3 - AEM-6.3.3.6

Service Pack per 6.4 - AEM-6.4.5.0

Service Pack per 6.5 - AEM-6.5.2.0 

Aggiunta dell'entità esterna XML

 

 

Divulgazione di informazioni riservate

 

 

Importante

 

 

CVE-2019-8086

 

 

AEM 6.2

AEM 6.3 

AEM 6.4

AEM 6.5

 

Pacchetto cumulativo di correzioni per 6.3 SP3 - AEM-6.3.3.6

Service Pack per 6.4 - AEM-6.4.6.0

Service Pack per 6.5 - AEM-6.5.2.0 

Aggiunta dell'entità esterna XML

 

 

Divulgazione di informazioni riservate

 

Importante

 

 

CVE-2019-8087

 

 

AEM 6.2

AEM 6.3 

AEM 6.4

AEM 6.5

Pacchetto cumulativo di correzioni per 6.3 SP3 - AEM-6.3.3.6

Service Pack per 6.4 - AEM-6.4.6.0

Service Pack per 6.5 - AEM-6.5.2.0 

Iniezione codice JavaScript

 

 

Esecuzione di codice arbitrario

 

 

Critica

 

 

CVE-2019-8088*

 

 

AEM 6.2

AEM 6.3

AEM 6.4

AEM 6.5

 

Pacchetto cumulativo di correzioni per 6.3 SP3 - AEM-6.3.3.6

Service Pack per 6.4 - AEM-6.4.6.0

Service Pack per 6.5 - AEM-6.5.2.0 

Nota:

L'esecuzione di codice JavaScript (CVE-2019-8088) influisce solo sulla versione 6.2.  A partire dalla versione 6.3, il motore Rhino rigidamente in modalità sandbox viene utilizzato per eseguire JavaScript, riducendo l'impatto della vulnerabilità CVE-2019-8088 agli attacchi SSRF (Server-Side Request Forgery) ciechi e alla negazione di servizio (DoS). 

Nota:

Nota: i pacchetti elencati nella tabella qui sopra rappresentano i pacchetti di correzione minimi necessari per risolvere la vulnerabilità pertinente. Per le versioni più recenti, è possibile consultare i collegamenti delle note sulla versione riportati sopra.

Ringraziamenti

Adobe desidera ringraziare i singoli e le organizzazioni seguenti per la collaborazione e per aver segnalato i problemi specifici, contribuendo così a proteggere la sicurezza dei nostri clienti:     

  • Mikhail Egorov @0ang3el (CVE-2019-8086, CVE-2019-8087, CVE-2019-8088)

Revisioni

15 ottobre 2019: ID CVE aggiornato da CVE-2019-8077 to CVE-2019-8234.

11 marzo 2020: è stata aggiunta una nota per chiarire che l'esecuzione del codice JavaScript (CVE-2019-8088) influisce solo su AEM 6.2.  

Logo Adobe

Accedi al tuo account

[Feedback V2 Badge]