ID del boletín
Actualizaciones de seguridad disponibles para Adobe Experience Manager | APSB19-48
|
Fecha de publicación |
Prioridad |
---|---|---|
APSB19-48 |
15 de octubre de 2019 |
2 |
Resumen
Adobe ha publicado actualizaciones de seguridad para Adobe Experience Manager (AEM). Estas actualizaciones solucionan varias vulnerabilidades en las versiones 6.3, 6.4 y 6.5 de AEM. Estas vulnerabilidades pueden permitir el acceso no autorizado al entorno de AEM.
Versión afectada del producto
Producto |
Versión |
Plataforma |
---|---|---|
Adobe Experience Manager |
6.5 6.4 6.3 6.2 6.1 6.0 |
Todas |
Solución
Adobe categoriza estas actualizaciones de acuerdo con los siguientes niveles de prioridad y recomienda que los usuarios actualicen los programas a las versiones más recientes:
Producto |
Versión |
Plataforma |
Prioridad |
Disponibilidad |
---|---|---|---|---|
Adobe Experience Manager |
6.5 |
Todas |
2 |
|
6.4 |
Todas |
2 |
||
6.3 |
Todas |
2 |
Póngase en contacto con el Servicio de atención al cliente de Adobe para recibir ayuda para las versiones de AEM anteriores.
Detalles sobre la vulnerabilidad
Categoría de vulnerabilidad |
Impacto de la vulnerabilidad |
Gravedad |
Número CVE |
Versiones afectadas | Paquete de descarga |
---|---|---|---|---|---|
Cross-Site Request Forgery (CSRF) | Divulgación de información confidencial | Importante | CVE-2019-8234
|
AEM 6.2 AEM 6.3 AEM 6.4 |
Pack de revisiones acumulativo para la versión 6.3 SP3 – AEM-6.3.3.6 |
Ataques mediante secuencias de comandos en sitios cruzados reflejados | Divulgación de información confidencial
|
Moderado | CVE-2019-8078 | AEM 6.2 AEM 6.3 AEM 6.4 |
Pack de revisiones acumulativo para la versión 6.3 SP3 – AEM-6.3.3.6 |
Ataques mediante secuencias de comandos en sitios cruzados almacenados | Divulgación de información confidencial | Importante | CVE-2019-8079 | AEM 6.0 AEM 6.1 AEM 6.2 AEM 6.3 AEM 6.4 |
Pack de revisiones acumulativo para la versión 6.3 SP3 – AEM-6.3.3.6 |
Ataques mediante secuencias de comandos en sitios cruzados almacenados | Escalación de privilegios | Importante | CVE-2019-8080
|
AEM 6.3 AEM 6.4 |
Pack de revisiones acumulativo para la versión 6.3 SP3 – AEM-6.3.3.6 |
Omisión de autenticación
|
Divulgación de información confidencial | Importante | CVE-2019-8081 | AEM 6.2 AEM 6.3 AEM 6.4 AEM 6.5 |
Pack de revisiones acumulativo para la versión 6.3 SP3 – AEM-6.3.3.6 |
Inyección de entidad externa XML | Divulgación de información confidencial
|
Importante | CVE-2019-8082 | AEM 6.2 AEM 6.3 AEM 6.4 |
Pack de revisiones acumulativo para la versión 6.3 SP3 – AEM-6.3.3.6 |
Secuencias de comandos en sitios | Divulgación de información confidencial
|
Moderado
|
CVE-2019-8083
|
AEM 6.3 AEM 6.4 AEM 6.5 |
Pack de revisiones acumulativo para la versión 6.3 SP3 – AEM-6.3.3.6 |
Ataques mediante secuencias de comandos en sitios cruzados reflejados | Divulgación de información confidencial
|
Moderado
|
CVE-2019-8084
|
AEM 6.2 AEM 6.3 AEM 6.4 AEM 6.5 |
Pack de revisiones acumulativo para la versión 6.3 SP3 – AEM-6.3.3.6 |
Ataques mediante secuencias de comandos en sitios cruzados reflejados
|
Divulgación de información confidencial
|
Moderado
|
CVE-2019-8085
|
AEM 6.2 AEM 6.3 AEM 6.4 AEM 6.5 |
Pack de revisiones acumulativo para la versión 6.3 SP3 – AEM-6.3.3.6 |
Inyección de entidad externa XML
|
Divulgación de información confidencial
|
Importante
|
CVE-2019-8086
|
AEM 6.2 AEM 6.3 AEM 6.4 AEM 6.5
|
Pack de revisiones acumulativo para la versión 6.3 SP3 – AEM-6.3.3.6 |
Inyección de entidad externa XML
|
Divulgación de información confidencial
|
Importante
|
CVE-2019-8087
|
AEM 6.2 AEM 6.3 AEM 6.4 AEM 6.5 |
Pack de revisiones acumulativo para la versión 6.3 SP3 – AEM-6.3.3.6 |
Inyección de código JavaScript
|
Ejecución arbitraria de código
|
Crítico
|
CVE-2019-8088*
|
AEM 6.2 AEM 6.3 AEM 6.4 AEM 6.5
|
Pack de revisiones acumulativo para la versión 6.3 SP3 – AEM-6.3.3.6 |
La ejecución de código JavaScript (CVE-2019-8088) solo afecta a la versión 6.2. A partir de la versión 6.3, el motor Rhino estrictamente aislado se utiliza para ejecutar JavaScript, lo que reduce el impacto de CVE-2019-8088 en ataques ciegos de falsificación de solicitudes del servidor (SSRF) y denegación de servicio (DoS).
Nota: Los paquetes enumerados en la tabla anterior son los paquetes de soluciones necesarios para solucionar la vulnerabilidad correspondiente. Para obtener las versiones más recientes, consulta los enlaces de las notas de publicación anteriores.
Reconocimientos
Adobe desea dar las gracias a las siguientes personas y organizaciones por informar de problemas relevantes y por colaborar con Adobe para ayudarnos a proteger la seguridad de nuestros clientes:
Lorenzo Pirondini (Netcentric, una empresa digital de Cognizant) (CVE-2019-8078, CVE-2019-8079, CVE-2019-8080, CVE-2019-8083, CVE-2019-8084, CVE-2019-8085)
Pankaj Upadhyay de T. Rowe Price Associates, Inc. (https://pankajupadhyay.in) (CVE-2019-8081)
Mikhail Egorov @0ang3el (CVE-2019-8086, CVE-2019-8087, CVE-2019-8088)
Revisiones
15 de octubre de 2019: ID de CVE actualizado de CVE-2019-8077 a CVE-2019-8234.
11 de marzo de 2020: Se agregó una nota para aclarar que la ejecución de código JavaScript (CVE-2019-8088) solo afecta a AEM 6.2.