公告 ID
可用于 Adobe Experience Manager 的安全更新 | APSB20-72
|
发布日期 |
优先级 |
---|---|---|
APSB20-72 |
2020 年 12 月 8 日 |
2 |
摘要
受影响的产品版本
产品 | 版本 | 平台 |
---|---|---|
Adobe Experience Manager (AEM) |
AEM Cloud Service (CS) |
全部 |
6.5.6.0 及更早版本 |
全部 |
|
6.4.8.2 及更早版本 |
全部 |
|
6.3.3.8 及更早版本 |
全部 |
|
6.2 SP1-CFP20 及更早版本 |
全部 |
|
AEM Forms 加载项 |
适用于 AEM 6.5.6.0 的 AEM Forms Service Pack 6 加载项软件包 |
全部 |
适用于 AEM 6.4 Service Pack 8 Cumulative Fix Pack 2 (6.4.8.2) 的 AEM Forms 加载项软件包 |
全部 |
解决方案
Adobe 按照以下优先级将更新分类,并建议用户将其安装的软件更新至最新版本:
产品 |
版本 |
平台 |
优先级 |
获取途径 |
---|---|---|---|---|
Adobe Experience Manager (AEM) |
AEM Cloud Service (CS) |
全部 | 2 | 发行说明 |
6.5.7.0 |
全部 |
2 |
AEM 6.5 Service Pack 发行说明 |
|
6.4.8.3 |
全部 |
2 |
||
AEM Forms 加载项 |
AEM Forms Service Pack 7 |
全部 |
2 |
AEM Forms 版本 |
AEM 6.4 Service Pack 8 CFP 3 |
全部 | 2 | AEM Forms 版本 |
在 Adobe Experience Manager Cloud Service 上运行的客户将自动接收包含新功能以及安全性和功能错误修复的更新。
Adobe Experience Manager 6.5.7.0 是一个重要更新,其中包括新增功能、关键客户请求的增强功能,以及自 2019 年 4 月 6.5 版本正式发布以来推出的性能、稳定性和安全性方面的改进。该版本可以在 Adobe Experience Manager 6.5 上进行安装。
AEM Cumulative Fix Pack 6.4.8.3 是一个重要更新,其中包括自 2020 年 3 月 AEM 6.4 Service Pack 8 (6.4.8.0) 正式发布以来对一些内部问题和客户问题的修复。AEM Cumulative Fix Pack 6.4.8.3 依赖于 AEM 6.4 Service Pack 8。因此,必须在安装 AEM 6.4 Service Pack 8 之后再安装 AEM Cumulative Fix Pack 6.4.8.3 软件包。
请联系 Adobe 客户关怀团队,以获取有关 AEM 6.3 和 6.2 版本的帮助。
漏洞详情
漏洞类别 |
漏洞影响 |
严重性 |
CVE 编号 |
受影响的版本 |
---|---|---|---|---|
盲型服务器端请求伪造 |
敏感信息泄漏 |
重要 |
CVE-2020-24444 |
适用于 AEM 6.5.6.0 及更早版本的 AEM Forms SP6 加载项 适用于 AEM 6.4 Service Pack 8 Cumulative Fix Pack 2 (6.4.8.2) 及更早版本的 AEM Forms 加载项软件包 |
跨站点脚本(存储) |
浏览器中的任意 JavaScript 执行 |
关键 |
CVE-2020-24445 |
AEM CS AEM 6.5.6.0 及更早版本 |
依赖项更新
依赖项 |
漏洞影响 |
受影响的版本 |
Apache Abdera |
资源消耗 |
AEM CS AEM 6.5.6.0 及更早版本 AEM 6.4.8.2 及更早版本 AEM 6.3.3.8 及更早版本 |
Apache Batik |
服务器端请求伪造 |
AEM CS AEM 6.5.6.0 及更早版本 AEM 6.4.8.2 及更早版本 AEM 6.3.3.8 及更早版本 |
Apache Commons Compress |
资源消耗 |
AEM CS AEM 6.5.6.0 及更早版本 AEM 6.4.8.2 及更早版本 AEM 6.3.3.8 及更早版本 |
Apache OpenNLP |
XML 外部实体 (XXE) 注入 |
AEM CS AEM 6.5.6.0 及更早版本 AEM 6.4.8.2 及更早版本 AEM 6.3.3.8 及更早版本 |
Apache Sling 调度程序服务 |
XML 外部实体 (XXE) 注入 |
AEM CS AEM 6.5.6.0 及更早版本 AEM 6.4.8.2 及更早版本 AEM 6.3.3.8 及更早版本 |
Apache Xerces2 |
资源消耗 |
AEM CS AEM 6.5.6.0 及更早版本 AEM 6.4.8.2 及更早版本 AEM 6.3.3.8 及更早版本 |
CKEditor |
浏览器中的任意 JavaScript 执行 |
AEM CS AEM 6.5.6.0 及更早版本 AEM 6.4.8.2 及更早版本 AEM 6.3.3.8 及更早版本 |
Eclipse Jetty |
资源消耗 |
AEM CS AEM 6.5.6.0 及更早版本 AEM 6.4.8.2 及更早版本 AEM 6.3.3.8 及更早版本 |
Google-oauth-client |
不正确的授权 |
AEM CS AEM 6.5.6.0 及更早版本 AEM 6.4.8.2 及更早版本 AEM 6.3.3.8 及更早版本 |
Handlebars.js |
原型污染 |
AEM CS AEM 6.5.6.0 及更早版本 AEM 6.4.8.2 及更早版本 AEM 6.3.3.8 及更早版本 |
Jackson Mapper |
XML 外部实体 (XXE) 注入 |
AEM CS AEM 6.5.6.0 及更早版本 AEM 6.4.8.2 及更早版本 AEM 6.3.3.8 及更早版本 |
jQuery |
浏览器中的任意 JavaScript 执行 |
AEM CS AEM 6.5.6.0 及更早版本 AEM 6.4.8.2 及更早版本 AEM 6.3.3.8 及更早版本 |
Spring Framework |
目录遍历 |
AEM CS AEM 6.5.6.0 及更早版本 AEM 6.4.8.2 及更早版本 AEM 6.3.3.8 及更早版本 |
Zip4j |
目录遍历 |
AEM CS AEM 6.5.6.0 及更早版本 AEM 6.4.8.2 及更早版本 AEM 6.3.3.8 及更早版本 |
鸣谢
Adobe 衷心感谢来自挪威 Storebrand Group 的 Frank Karlstrøm 和 Kenny Jansson (CVE-2020-24444) 与 Adobe 一同保护客户的安全。
修订
2021 年 1 月 13 日:已从受 CVE-2020-24445 影响的版本列表中删除 AEM 6.4.8.2 和 6.3.3.8。