ID bollettino
Ultimo aggiornamento il
3 mag 2021
Aggiornamenti di sicurezza disponibili per Adobe Experience Manager | APSB19-48
|
|
Data di pubblicazione |
Priorità |
|---|---|---|
|
APSB19-48 |
15 ottobre 2019 |
2 |
Riepilogo
Adobe ha rilasciato aggiornamenti di sicurezza per Adobe Experience Manager (AEM). Questi aggiornamenti risolvono diverse vulnerabilità nelle versioni 6.3, 6.4 e 6.5 di AEM. Se sfruttate, tali vulnerabilità potrebbero consentire l'accesso non autorizzato all'ambiente AEM.
Versioni del prodotto interessate
|
Prodotto |
Versione |
Piattaforma |
|---|---|---|
|
Adobe Experience Manager |
6.5 6.4 6.3 6.2 6.1 6.0 |
Tutte |
Soluzione
Adobe classifica questi aggiornamenti in base ai seguenti livelli di priorità e consiglia agli utenti interessati di aggiornare la propria installazione alla versione più recente:
Prodotto |
Versione |
Piattaforma |
Priorità |
Disponibilità |
|---|---|---|---|---|
Adobe Experience Manager |
6.5 |
Tutte |
2 |
|
6.4 |
Tutte |
2 |
||
6.3 |
Tutte |
2 |
Per ricevere assistenza sulle versioni di AEM precedenti, gli utenti possono contattare l'Assistenza clienti Adobe.
Dettagli della vulnerabilità
| Categoria della vulnerabilità |
Impatto della vulnerabilità |
Gravità |
Codice CVE |
Versioni interessate | Pacchetto di download |
|---|---|---|---|---|---|
| Falsificazione della richiesta tra siti | Divulgazione di informazioni riservate | Importante | CVE-2019-8234
|
AEM 6.2 AEM 6.3 AEM 6.4 |
Pacchetto cumulativo di correzioni per 6.3 SP3 - AEM-6.3.3.6 |
| Cross-site scripting di tipo reflected | Divulgazione di informazioni riservate
|
Moderata | CVE-2019-8078 | AEM 6.2 AEM 6.3 AEM 6.4 |
Pacchetto cumulativo di correzioni per 6.3 SP3 - AEM-6.3.3.6 |
| Cross-site scripting memorizzato | Divulgazione di informazioni riservate | Importante | CVE-2019-8079 | AEM 6.0 AEM 6.1 AEM 6.2 AEM 6.3 AEM 6.4 |
Pacchetto cumulativo di correzioni per 6.3 SP3 - AEM-6.3.3.6 |
| Cross-site scripting memorizzato | Acquisizione illecita di privilegi | Importante | CVE-2019-8080
|
AEM 6.3 AEM 6.4 |
Pacchetto cumulativo di correzioni per 6.3 SP3 - AEM-6.3.3.6 |
Aggiramento di autenticazione
|
Divulgazione di informazioni riservate | Importante | CVE-2019-8081 | AEM 6.2 AEM 6.3 AEM 6.4 AEM 6.5 |
Pacchetto cumulativo di correzioni per 6.3 SP3 - AEM-6.3.3.6 |
| Aggiunta dell'entità esterna XML | Divulgazione di informazioni riservate
|
Importante | CVE-2019-8082 | AEM 6.2 AEM 6.3 AEM 6.4 |
Pacchetto cumulativo di correzioni per 6.3 SP3 - AEM-6.3.3.6 |
| Cross-site scripting | Divulgazione di informazioni riservate
|
Moderata
|
CVE-2019-8083
|
AEM 6.3 AEM 6.4 AEM 6.5 |
Pacchetto cumulativo di correzioni per 6.3 SP3 - AEM-6.3.3.6 |
| Cross-site scripting di tipo reflected | Divulgazione di informazioni riservate
|
Moderata
|
CVE-2019-8084
|
AEM 6.2 AEM 6.3 AEM 6.4 AEM 6.5 |
Pacchetto cumulativo di correzioni per 6.3 SP3 - AEM-6.3.3.6 |
Cross-site scripting di tipo reflected
|
Divulgazione di informazioni riservate
|
Moderata
|
CVE-2019-8085
|
AEM 6.2 AEM 6.3 AEM 6.4 AEM 6.5 |
Pacchetto cumulativo di correzioni per 6.3 SP3 - AEM-6.3.3.6 |
Aggiunta dell'entità esterna XML
|
Divulgazione di informazioni riservate
|
Importante
|
CVE-2019-8086
|
AEM 6.2 AEM 6.3 AEM 6.4 AEM 6.5
|
Pacchetto cumulativo di correzioni per 6.3 SP3 - AEM-6.3.3.6 |
Aggiunta dell'entità esterna XML
|
Divulgazione di informazioni riservate
|
Importante
|
CVE-2019-8087
|
AEM 6.2 AEM 6.3 AEM 6.4 AEM 6.5 |
Pacchetto cumulativo di correzioni per 6.3 SP3 - AEM-6.3.3.6 |
Iniezione codice JavaScript
|
Esecuzione di codice arbitrario
|
Critica
|
CVE-2019-8088*
|
AEM 6.2 AEM 6.3 AEM 6.4 AEM 6.5
|
Pacchetto cumulativo di correzioni per 6.3 SP3 - AEM-6.3.3.6 |
Nota:
L'esecuzione di codice JavaScript (CVE-2019-8088) influisce solo sulla versione 6.2. A partire dalla versione 6.3, il motore Rhino rigidamente in modalità sandbox viene utilizzato per eseguire JavaScript, riducendo l'impatto della vulnerabilità CVE-2019-8088 agli attacchi SSRF (Server-Side Request Forgery) ciechi e alla negazione di servizio (DoS).
Nota:
Nota: i pacchetti elencati nella tabella qui sopra rappresentano i pacchetti di correzione minimi necessari per risolvere la vulnerabilità pertinente. Per le versioni più recenti, è possibile consultare i collegamenti delle note sulla versione riportati sopra.
Ringraziamenti
Adobe desidera ringraziare i singoli e le organizzazioni seguenti per la collaborazione e per aver segnalato i problemi specifici, contribuendo così a proteggere la sicurezza dei nostri clienti:
Lorenzo Pirondini (Netcentric, A Cognizant Digital Business) (CVE-2019-8078, CVE-2019-8079, CVE-2019-8080, CVE-2019-8083 , CVE-2019-8084, CVE-2019-8085)
Pankaj Upadhyay di T. Rowe Price Associates, Inc. (https://pankajupadhyay.in) (CVE-2019-8081)
Mikhail Egorov @0ang3el (CVE-2019-8086, CVE-2019-8087, CVE-2019-8088)
Revisioni
15 ottobre 2019: ID CVE aggiornato da CVE-2019-8077 to CVE-2019-8234.
11 marzo 2020: è stata aggiunta una nota per chiarire che l'esecuzione del codice JavaScript (CVE-2019-8088) influisce solo su AEM 6.2.
