Adobe 安全公告

可用于 Adobe Experience Manager 的安全更新 | APSB20-72

公告 ID

发布日期

优先级

APSB20-72

2020 年 12 月 8 日 

2

摘要

Adobe 已发布可用于 Adobe Experience Manager (AEM) 和 AEM Forms 加载项软件包的更新。这些更新解决了一些等级为关键重要的漏洞。


受影响的产品版本

产品 版本 平台

 

 

Adobe Experience Manager (AEM)

AEM Cloud Service (CS)
全部
6.5.6.0 及更早版本
全部
6.4.8.2 及更早版本
全部 
6.3.3.8 及更早版本
全部 
6.2 SP1-CFP20 及更早版本
全部 
AEM Forms 加载项
适用于 AEM 6.5.6.0 的 AEM Forms Service Pack 6 加载项软件包
全部 
适用于 AEM 6.4 Service Pack 8 Cumulative Fix Pack 2 (6.4.8.2) 的 AEM Forms 加载项软件包
全部

解决方案

Adobe 按照以下优先级将更新分类,并建议用户将其安装的软件更新至最新版本:

产品

版本

平台

优先级

获取途径

 

Adobe Experience Manager (AEM) 

AEM Cloud Service (CS)
全部 2 发行说明

6.5.7.0

全部

2

AEM 6.5 Service Pack 发行说明

6.4.8.3

全部

2

AEM 6.4 Cumulative Fix Pack 发行说明

 

AEM Forms 加载项

AEM Forms Service Pack 7
全部
2
AEM Forms 版本
AEM 6.4 Service Pack 8 CFP 3
全部 2 AEM Forms 版本
注意:

在 Adobe Experience Manager Cloud Service 上运行的客户将自动接收包含新功能以及安全性和功能错误修复的更新。 

注意:

Adobe Experience Manager 6.5.7.0 是一个重要更新,其中包括新增功能、关键客户请求的增强功能,以及自 2019 年 4 月 6.5 版本正式发布以来推出的性能、稳定性和安全性方面的改进。该版本可以在 Adobe Experience Manager 6.5 上进行安装。

注意:

AEM Cumulative Fix Pack 6.4.8.3 是一个重要更新,其中包括自 2020 年 3 月 AEM 6.4 Service Pack 8 (6.4.8.0) 正式发布以来对一些内部问题和客户问题的修复。AEM Cumulative Fix Pack 6.4.8.3 依赖于 AEM 6.4 Service Pack 8。因此,必须在安装 AEM 6.4 Service Pack 8 之后再安装 AEM Cumulative Fix Pack 6.4.8.3 软件包。

注意:

请联系 Adobe 客户关怀团队,以获取有关 AEM 6.3 和 6.2 版本的帮助。

漏洞详情

漏洞类别

漏洞影响

严重性

CVE 编号 

受影响的版本

盲型服务器端请求伪造

敏感信息泄漏

重要

CVE-2020-24444

适用于 AEM 6.5.6.0 及更早版本的 AEM Forms SP6 加载项

适用于 AEM 6.4 Service Pack 8 Cumulative Fix Pack 2 (6.4.8.2) 及更早版本的 AEM Forms 加载项软件包

跨站点脚本(存储)

浏览器中的任意 JavaScript 执行

关键

CVE-2020-24445

AEM CS

AEM 6.5.6.0 及更早版本

依赖项更新

依赖项
漏洞影响
受影响的版本
Apache Abdera
资源消耗

AEM CS

AEM 6.5.6.0 及更早版本

AEM 6.4.8.2 及更早版本

AEM 6.3.3.8 及更早版本

Apache Batik
服务器端请求伪造

AEM CS

AEM 6.5.6.0 及更早版本

AEM 6.4.8.2 及更早版本

AEM 6.3.3.8 及更早版本

Apache Commons Compress
资源消耗

AEM CS

AEM 6.5.6.0 及更早版本

AEM 6.4.8.2 及更早版本

AEM 6.3.3.8 及更早版本

Apache OpenNLP
XML 外部实体 (XXE) 注入

AEM CS

AEM 6.5.6.0 及更早版本

AEM 6.4.8.2 及更早版本

AEM 6.3.3.8 及更早版本

Apache Sling 调度程序服务
XML 外部实体 (XXE) 注入

AEM CS

AEM 6.5.6.0 及更早版本

AEM 6.4.8.2 及更早版本

AEM 6.3.3.8 及更早版本

Apache Xerces2
资源消耗

AEM CS

AEM 6.5.6.0 及更早版本

AEM 6.4.8.2 及更早版本

AEM 6.3.3.8 及更早版本

CKEditor
浏览器中的任意 JavaScript 执行

AEM CS

AEM 6.5.6.0 及更早版本

AEM 6.4.8.2 及更早版本

AEM 6.3.3.8 及更早版本

Eclipse Jetty
资源消耗

AEM CS

AEM 6.5.6.0 及更早版本

AEM 6.4.8.2 及更早版本

AEM 6.3.3.8 及更早版本

Google-oauth-client
不正确的授权

AEM CS

AEM 6.5.6.0 及更早版本

AEM 6.4.8.2 及更早版本

AEM 6.3.3.8 及更早版本

Handlebars.js
原型污染

AEM CS

AEM 6.5.6.0 及更早版本

AEM 6.4.8.2 及更早版本

AEM 6.3.3.8 及更早版本

Jackson Mapper
XML 外部实体 (XXE) 注入

AEM CS

AEM 6.5.6.0 及更早版本

AEM 6.4.8.2 及更早版本

AEM 6.3.3.8 及更早版本

jQuery
浏览器中的任意 JavaScript 执行

AEM CS

AEM 6.5.6.0 及更早版本

AEM 6.4.8.2 及更早版本

AEM 6.3.3.8 及更早版本

Spring Framework
目录遍历

AEM CS

AEM 6.5.6.0 及更早版本

AEM 6.4.8.2 及更早版本

AEM 6.3.3.8 及更早版本

Zip4j
目录遍历

AEM CS

AEM 6.5.6.0 及更早版本

AEM 6.4.8.2 及更早版本

AEM 6.3.3.8 及更早版本

鸣谢

Adobe 衷心感谢来自挪威 Storebrand Group 的 Frank Karlstrøm 和 Kenny Jansson (CVE-2020-24444) 与 Adobe 一同保护客户的安全。

修订

2021 年 1 月 13 日:已从受 CVE-2020-24445 影响的版本列表中删除 AEM 6.4.8.2 和 6.3.3.8。  

Adobe 徽标

登录到您的帐户

[Feedback V2 Badge]