公告 ID
上次更新日期:
2021年4月29日
可用于 Adobe Experience Manager 的安全更新 | APSB20-56
|
|
发布日期 |
优先级 |
|---|---|---|
|
APSB20-56 |
2020 年 9 月 8 日 |
2 |
摘要
受影响的产品版本
| 产品 | 版本 | 平台 |
|---|---|---|
| Adobe Experience Manager |
6.5.5.0 及更早版本 |
全部 |
| 6.4.8.1 及更早版本 |
全部 |
|
| 6.3.3.8 及更早版本 |
全部 |
|
| 6.2 SP1-CFP20 及更早版本 |
全部 |
|
| AEM Forms 加载项 |
AEM Forms Service Pack 5 及更早版本 |
全部 |
解决方案
Adobe 按照以下优先级将更新分类,并建议用户将其安装的软件更新至最新版本:
产品 |
版本 |
平台 |
优先级 |
获取途径 |
|---|---|---|---|---|
Adobe Experience Manager (AEM) |
6.5.6.0 |
全部 |
2 |
AEM 6.5 Service Pack 发行说明 |
6.4.8.2 |
全部 |
2 |
||
| AEM Forms 加载项 |
AEM Forms Service Pack 6 |
全部 |
2 |
AEM Forms 版本 |
注意:
Adobe Experience Manager 6.5.6.0 是一个重要更新,其中包括新增功能、关键客户请求的增强功能,以及自 2019 年 4 月 6.5 版本正式发布以来推出的性能、稳定性和安全性方面的改进。该版本可以在 Adobe Experience Manager 6.5 上进行安装。
注意:
AEM Cumulative Fix Pack 6.4.8.2 是一个重要更新,其中包括自 2020 年 3 月 AEM 6.4 Service Pack 8 (6.4.8.0) 正式发布以来对一些内部问题和客户问题的修复。AEM Cumulative Fix Pack 6.4.8.2 依赖于 AEM 6.4 Service Pack 8。因此,必须在安装 AEM 6.4 Service Pack 8 之后再安装 AEM Cumulative Fix Pack 6.4.8.2 软件包。
注意:
请联系 Adobe 客户关怀团队,以获取有关 AEM 6.3 和 6.2 版本的帮助。
漏洞详情
| 漏洞类别 |
漏洞影响 |
严重性 |
CVE 编号 |
受影响的版本 |
|---|---|---|---|---|
| 跨站点脚本(存储) |
浏览器中的任意 JavaScript 执行 |
关键 |
CVE-2020-9732 | AEM Forms SP5 及更早版本 |
| 以不必要的权限执行 |
敏感信息泄漏 | 重要 |
CVE-2020-9733 |
AEM 6.5.5.0 及更早版本 AEM 6.4.8.1 及更早版本 |
| 跨站点脚本(存储) |
浏览器中的任意 JavaScript 执行 |
关键 |
CVE-2020-9734 |
AEM Forms SP5 及更早版本 |
| 跨站点脚本(存储) |
浏览器中的任意 JavaScript 执行 |
重要 |
CVE-2020-9735 |
AAEM 6.5.5.0 及更早版本 AEM 6.4.8.1 及更早版本 AEM 6.3.3.8 及更早版本 AEM 6.2 SP1-CFP20 及更早版本 |
| 跨站点脚本(存储) |
浏览器中的任意 JavaScript 执行 |
重要 |
CVE-2020-9736 |
AEM 6.5.5.0 及更早版本 AEM 6.4.8.1 及更早版本 AEM 6.3.3.8 及更早版本 AEM 6.2 SP1-CFP20 及更早版本 |
| 跨站点脚本(存储) |
浏览器中的任意 JavaScript 执行 |
重要 |
CVE-2020-9737 |
AEM 6.5.5.0 及更早版本 AEM 6.4.8.1 及更早版本 AEM 6.3.3.8 及更早版本 AEM 6.2 SP1-CFP20 及更早版本 |
| 跨站点脚本(存储) |
浏览器中的任意 JavaScript 执行 |
重要 |
CVE-2020-9738 |
AEM 6.5.5.0 及更早版本 AEM 6.4.8.1 及更早版本 AEM 6.3.3.8 及更早版本 AEM 6.2 SP1-CFP20 及更早版本 |
| 跨站点脚本(存储) |
浏览器中的任意 JavaScript 执行 |
关键 |
CVE-2020-9740 |
AEM 6.5.5.0 及更早版本 AEM 6.4.8.1 及更早版本 AEM 6.3.3.8 及更早版本 AEM 6.2 SP1-CFP20 及更早版本 |
| 跨站点脚本(存储) |
浏览器中的任意 JavaScript 执行 |
关键 |
CVE-2020-9741 |
AEM Forms SP5 及更早版本 |
| 跨站点脚本(反射型) |
浏览器中的任意 JavaScript 执行 |
关键 |
CVE-2020-9742 |
AEM 6.5.5.0 及更早版本 AEM 6.4.8.1 及更早版本 AEM 6.3.3.8 及更早版本 |
| HTML 注入 |
浏览器中的任意 HTML 注入 |
重要 |
CVE-2020-9743 |
AEM 6.5.5.0 及更早版本 AEM 6.4.8.1 及更早版本 AEM 6.3.3.8 及更早版本 AEM 6.2 SP1-CFP20 及更早版本 |
依赖项更新
|
依赖项 |
漏洞影响 |
受影响的版本 |
|
Handlebars.js |
浏览器中的任意 JavaScript 执行 |
AEM 6.5.5.0 及更早版本 AEM 6.4.8.1 及更早版本 AEM 6.3.3.8 及更早版本 AEM 6.2 SP1-CFP20 及更早版本 |
|
Lodash.js(已从 AEM 中删除) |
原型污染 |
AEM 6.5.5.0 及更早版本 AEM 6.4.8.1 及更早版本 AEM 6.3.3.8 及更早版本 AEM 6.2 SP1-CFP20 及更早版本 |
|
Log4j |
不受信任的数据反序列化 |
AEM 6.5.5.0 及更早版本 AEM 6.4.8.1 及更早版本 AEM 6.3.3.8 及更早版本 AEM 6.2 SP1-CFP20 及更早版本 |
|
Dom4j |
XXE(XML 外部实体)注入 |
AEM 6.5.5.0 及更早版本 AEM 6.4.8.1 及更早版本 AEM 6.3.3.8 及更早版本 AEM 6.2 SP1-CFP20 及更早版本 |
