Bezpečnostní bulletin společnosti Adobe

Zveřejnění aktualizací zabezpečení pro aplikaci Adobe Experience Manager | APSB20-56

ID bulletinu

Datum zveřejnění

Priorita

APSB20-56 

8. září 2020 

2

Shrnutí

Společnost Adobe zveřejnila aktualizace aplikace Adobe Experience Manager (AEM) a balíčku doplňků AEM Forms. Tyto aktualizace řeší chyby zabezpečení označené jakodůležitékritické.Úspěšné zneužití těchto chyb zabezpečení může vést k libovolnému spuštění kódu JavaScript v prohlížeči.


Dotčené verze produktu

Produkt Verze Platforma
Adobe Experience Manager
6.5.5.0 a starší verze 
Vše
6.4.8.1 a starší verze 
Vše 
6.3.3.8 a starší verze 
Vše 
6.2 SP1-CFP20 a starší verze 
Vše 
Doplněk AEM Forms 
AEM Forms Service Pack 5 a starší verze 
Vše 

Řešení

Společnost Adobe označuje tyto aktualizace následujícími úrovněmi priority a doporučuje uživatelům aktualizovat produkt na nejnovější verzi:

Produkt

Verze

Platforma

Priorita

Dostupnost

 

Adobe Experience Manager (AEM) 

6.5.6.0 

Vše

2

AEM 6.5 Service Pack – Poznámky k verzi   

6.4.8.2 

Vše

2

Kumulativní sada oprav AEM 6.4 – Poznámky k verzi   

Doplněk AEM Forms
AEM Forms Service Pack 6
Vše
2
Verze aplikace AEM Forms 
Poznámka:

Adobe Experience Manager 6.5.6.0 je důležitá aplikace, která obsahuje nové funkce, klíčová vylepšení vyžadovaná zákazníky a vylepšení výkonu, stability a zabezpečení vydaná od obecného zpřístupnění verze 6.5 v dubnu 2019.  Lze ji nainstalovat přes instalaci aplikace Adobe Experience Manager 6.5.

Poznámka:

Kumulativní sada oprav AEM 6.4.8.2 je důležitá aktualizace, která obsahuje několik interních a zákaznických oprav od obecného zpřístupnění aktualizace AEM 6.4 Service Pack 8 (6.4.8.0) v březnu 2020. Kumulativní sada oprav AEM 6.4.8.2 je závislá na aktualizaci AEM 6.4 Service Pack 8. Proto je nutné nainstalovat kumulativní sadu oprav AEM 6.4.8.2 až po instalaci aktualizace AEM 6.4 Service Pack 8.

Poznámka:

O pomoc s verzemi aplikace AEM 6.3 a 6.2 můžete požádat péči o zákazníky společnosti Adobe.

Podrobnosti o chybě zabezpečení

Kategorie chyby zabezpečení

Dopad chyby zabezpečení

Závažnost

Číslo CVE 

Postižené verze
Cross-site scripting (uložený)
Samovolné spuštění JavaScriptu v prohlížeči
Kritická
CVE-2020-9732

AEM Forms SP5 a starší

Spuštění s nežádoucími oprávněními
Poskytnutí citlivých informací Důležitá
CVE-2020-9733

AEM 6.5.5.0 a starší

AEM 6.4.8.1 a starší

Cross-site scripting (uložený)
Samovolné spuštění JavaScriptu v prohlížeči
Kritická
CVE-2020-9734
AEM Forms SP5 a starší
Cross-site scripting (uložený)
Samovolné spuštění JavaScriptu v prohlížeči
Důležitá
CVE-2020-9735

AAEM 6.5.5.0 a starší

AEM 6.4.8.1 a starší

AEM 6.3.3.8 a starší

AEM 6.2 SP1-CFP20 a starší

Cross-site scripting (uložený)
Samovolné spuštění JavaScriptu v prohlížeči
Důležitá
CVE-2020-9736

AEM 6.5.5.0 a starší

AEM 6.4.8.1 a starší

AEM 6.3.3.8 a starší

AEM 6.2 SP1-CFP20 a starší

Cross-site scripting (uložený)
Samovolné spuštění JavaScriptu v prohlížeči
Důležitá
CVE-2020-9737

AEM 6.5.5.0 a starší

AEM 6.4.8.1 a starší

AEM 6.3.3.8 a starší

AEM 6.2 SP1-CFP20 a starší

Cross-site scripting (uložený)
Samovolné spuštění JavaScriptu v prohlížeči
Důležitá

CVE-2020-9738

AEM 6.5.5.0 a starší

AEM 6.4.8.1 a starší

AEM 6.3.3.8 a starší

AEM 6.2 SP1-CFP20 a starší

Cross-site scripting (uložený)
Samovolné spuštění JavaScriptu v prohlížeči
Kritická
CVE-2020-9740

AEM 6.5.5.0 a starší

AEM 6.4.8.1 a starší

AEM 6.3.3.8 a starší

AEM 6.2 SP1-CFP20 a starší

Cross-site scripting (uložený)
Samovolné spuštění JavaScriptu v prohlížeči
Kritická
CVE-2020-9741
AEM Forms SP5 a starší
Cross-site scripting (reflektovaný)
Samovolné spuštění JavaScriptu v prohlížeči
Kritická
CVE-2020-9742

AEM 6.5.5.0 a starší

AEM 6.4.8.1 a starší

AEM 6.3.3.8 a starší

Injektáž HTML
Injektáž libovolného kódu HTML v prohlížeči
Důležitá
CVE-2020-9743

AEM 6.5.5.0 a starší

AEM 6.4.8.1 a starší

AEM 6.3.3.8 a starší

AEM 6.2 SP1-CFP20 a starší

Aktualizace závislostí

Závislost

Dopad chyby zabezpečení

Postižené verze

Handlebars.js

Samovolné spuštění JavaScriptu v prohlížeči

AEM 6.5.5.0 a starší

AEM 6.4.8.1 a starší

AEM 6.3.3.8 a starší

AEM 6.2 SP1-CFP20 a starší

Lodash.js (odebráno z AEM)

Znečištění prototypu

AEM 6.5.5.0 a starší

AEM 6.4.8.1 a starší

AEM 6.3.3.8 a starší

AEM 6.2 SP1-CFP20 a starší

Log4j

Deserializace nedůvěryhodných dat

AEM 6.5.5.0 a starší

AEM 6.4.8.1 a starší

AEM 6.3.3.8 a starší

AEM 6.2 SP1-CFP20 a starší

Dom4j

Injektáž XXE (Xml eXternal Entity)

AEM 6.5.5.0 a starší

AEM 6.4.8.1 a starší

AEM 6.3.3.8 a starší

AEM 6.2 SP1-CFP20 a starší

 Adobe

Získejte pomoc rychleji a snáze

Nový uživatel?

Adobe MAX 2024

Adobe MAX
Konference věnovaná tvořivosti

14.–16. října Miami Beach a online

Adobe MAX

Konference věnovaná tvořivosti

14.–16. října Miami Beach a online

Adobe MAX 2024

Adobe MAX
Konference věnovaná tvořivosti

14.–16. října Miami Beach a online

Adobe MAX

Konference věnovaná tvořivosti

14.–16. října Miami Beach a online