Adobe 安全公告

可用于 Adobe Experience Manager 的安全更新 | APSB20-56

公告 ID

发布日期

优先级

APSB20-56 

2020 年 9 月 8 日

2

摘要

Adobe 已发布可用于 Adobe Experience Manager (AEM) 和 AEM Forms 加载项软件包的更新。这些更新解决了一些等级为关键重要的漏洞。如果成功利用这些漏洞,可能会导致在浏览器中执行任意 JavaScript。


受影响的产品版本

产品 版本 平台
Adobe Experience Manager
6.5.5.0 及更早版本
全部
6.4.8.1 及更早版本 
全部 
6.3.3.8 及更早版本 
全部 
6.2 SP1-CFP20 及更早版本
全部 
AEM Forms 加载项
AEM Forms Service Pack 5 及更早版本
全部 

解决方案

Adobe 按照以下优先级将更新分类,并建议用户将其安装的软件更新至最新版本:

产品

版本

平台

优先级

获取途径

 

Adobe Experience Manager (AEM) 

6.5.6.0

全部

2

AEM 6.5 Service Pack 发行说明

6.4.8.2

全部

2

AEM 6.4 Cumulative Fix Pack 发行说明

AEM Forms 加载项
AEM Forms Service Pack 6
全部
2
AEM Forms 版本
注意:

Adobe Experience Manager 6.5.6.0 是一个重要更新,其中包括新增功能、关键客户请求的增强功能,以及自 2019 年 4 月 6.5 版本正式发布以来推出的性能、稳定性和安全性方面的改进。该版本可以在 Adobe Experience Manager 6.5 上进行安装。

注意:

AEM Cumulative Fix Pack 6.4.8.2 是一个重要更新,其中包括自 2020 年 3 月 AEM 6.4 Service Pack 8 (6.4.8.0) 正式发布以来对一些内部问题和客户问题的修复。AEM Cumulative Fix Pack 6.4.8.2 依赖于 AEM 6.4 Service Pack 8。因此,必须在安装 AEM 6.4 Service Pack 8 之后再安装 AEM Cumulative Fix Pack 6.4.8.2 软件包。

注意:

请联系 Adobe 客户关怀团队,以获取有关 AEM 6.3 和 6.2 版本的帮助。

漏洞详情

漏洞类别

漏洞影响

严重性

CVE 编号 

受影响的版本
跨站点脚本(存储)
浏览器中的任意 JavaScript 执行
关键
CVE-2020-9732

AEM Forms SP5 及更早版本

以不必要的权限执行
敏感信息泄漏 重要
CVE-2020-9733

AEM 6.5.5.0 及更早版本

AEM 6.4.8.1 及更早版本

跨站点脚本(存储)
浏览器中的任意 JavaScript 执行
关键
CVE-2020-9734
AEM Forms SP5 及更早版本
跨站点脚本(存储)
浏览器中的任意 JavaScript 执行
重要
CVE-2020-9735

AAEM 6.5.5.0 及更早版本

AEM 6.4.8.1 及更早版本

AEM 6.3.3.8 及更早版本

AEM 6.2 SP1-CFP20 及更早版本

跨站点脚本(存储)
浏览器中的任意 JavaScript 执行
重要
CVE-2020-9736

AEM 6.5.5.0 及更早版本

AEM 6.4.8.1 及更早版本

AEM 6.3.3.8 及更早版本

AEM 6.2 SP1-CFP20 及更早版本

跨站点脚本(存储)
浏览器中的任意 JavaScript 执行
重要
CVE-2020-9737

AEM 6.5.5.0 及更早版本

AEM 6.4.8.1 及更早版本

AEM 6.3.3.8 及更早版本

AEM 6.2 SP1-CFP20 及更早版本

跨站点脚本(存储)
浏览器中的任意 JavaScript 执行
重要

CVE-2020-9738

AEM 6.5.5.0 及更早版本

AEM 6.4.8.1 及更早版本

AEM 6.3.3.8 及更早版本

AEM 6.2 SP1-CFP20 及更早版本

跨站点脚本(存储)
浏览器中的任意 JavaScript 执行
关键
CVE-2020-9740

AEM 6.5.5.0 及更早版本

AEM 6.4.8.1 及更早版本

AEM 6.3.3.8 及更早版本

AEM 6.2 SP1-CFP20 及更早版本

跨站点脚本(存储)
浏览器中的任意 JavaScript 执行
关键
CVE-2020-9741
AEM Forms SP5 及更早版本
跨站点脚本(反射型)
浏览器中的任意 JavaScript 执行
关键
CVE-2020-9742

AEM 6.5.5.0 及更早版本

AEM 6.4.8.1 及更早版本

AEM 6.3.3.8 及更早版本

HTML 注入
浏览器中的任意 HTML 注入
重要
CVE-2020-9743

AEM 6.5.5.0 及更早版本

AEM 6.4.8.1 及更早版本

AEM 6.3.3.8 及更早版本

AEM 6.2 SP1-CFP20 及更早版本

依赖项更新

依赖项

漏洞影响

受影响的版本

Handlebars.js

浏览器中的任意 JavaScript 执行

AEM 6.5.5.0 及更早版本

AEM 6.4.8.1 及更早版本

AEM 6.3.3.8 及更早版本

AEM 6.2 SP1-CFP20 及更早版本

Lodash.js(已从 AEM 中删除)

原型污染

AEM 6.5.5.0 及更早版本

AEM 6.4.8.1 及更早版本

AEM 6.3.3.8 及更早版本

AEM 6.2 SP1-CFP20 及更早版本

Log4j

不受信任的数据反序列化

AEM 6.5.5.0 及更早版本

AEM 6.4.8.1 及更早版本

AEM 6.3.3.8 及更早版本

AEM 6.2 SP1-CFP20 及更早版本

Dom4j

XXE(XML 外部实体)注入

AEM 6.5.5.0 及更早版本

AEM 6.4.8.1 及更早版本

AEM 6.3.3.8 及更早版本

AEM 6.2 SP1-CFP20 及更早版本

Adobe 徽标

登录到您的帐户

[Feedback V2 Badge]