Référence du bulletin
Mises à jour de sécurité disponibles pour Adobe Experience Manager | APSB20-56
|
Date de publication |
Priorité |
---|---|---|
APSB20-56 |
8 septembre 2020 |
2 |
Récapitulatif
Adobe a publié des mises à jour pour Adobe Experience Manager (AEM) et le package de modules complémentaires AEM Forms. Ces mises à jour corrigent des vulnérabilités jugées critiques et importantes.L’exploitation réussie de ces vulnérabilités pourrait entraîner l’exécution arbitraire de code JavaScript dans le navigateur.
Versions concernées
Produit | Version | Plate-forme |
---|---|---|
Adobe Experience Manager |
6.5.5.0 et versions antérieures |
Toutes |
Versions 6.4.8.1 et antérieures |
Toutes |
|
Versions 6.3.3.8 et antérieures |
Toutes |
|
6.2 SP1-CFP20 et versions antérieures |
Toutes |
|
Module complémentaire AEM Forms |
AEM Forms Service Pack 5 et versions antérieures |
Toutes |
Solution
Adobe attribue à ces mises à jour les priorités suivantes et recommande aux utilisateurs concernés de mettre à jour leurs installations avec les dernières versions des logiciels :
Produit |
Version |
Plate-forme |
Priorité |
Disponibilité |
---|---|---|---|---|
Adobe Experience Manager (AEM) |
6.5.6.0 |
Toutes |
2 |
Notes de mise à jour Service Pack pour AEM 6.5 |
6.4.8.2 |
Toutes |
2 |
Notes de mise à jour Pack cumulatif de correctifs pour AEM 6.4 |
|
Module complémentaire AEM Forms |
AEM Forms Service Pack 6 |
Toutes |
2 |
Versions AEM Forms |
Adobe Experience Manager 6.5.6.0 représente une mise à jour importante. Elle comprend de nouvelles fonctionnalités, des améliorations demandées par des clients clés, ainsi que des améliorations liées aux performances, à la stabilité et à la sécurité publiées depuis le lancement de la version 6.5 en avril 2019. Elle peut être installée en plus d’Adobe Experience Manager 6.5.
Le pack cumulatif de correctifs 6.4.8.2 pour AEM représente une mise à jour importante qui comprend plusieurs corrections internes et clients depuis le lancement d’AEM 6.4 Service Pack 8 (6.4.8.0) en mars 2020. Le pack cumulatif de correctifs 6.4.8.2 pour AEM dépend d’AEM 6.4 Service Pack 8. Par conséquent, vous devez installer ce pack après avoir installé AEM 6.4 Service Pack 8.
Veuillez contacter l’Assistance clientèle d’Adobe pour obtenir de l’aide sur les versions 6.2 et 6.3 d’AEM.
Détails concernant la vulnérabilité
Catégorie de la vulnérabilité |
Impact de la vulnérabilité |
Gravité |
Référence CVE |
Versions concernées |
---|---|---|---|---|
Cross-site scripting (XSS stocké) |
Exécution arbitraire de code JavaScript dans le navigateur |
Critique |
CVE-2020-9732 | AEM Forms SP5 et versions antérieures |
Exécution avec privilèges inutiles |
Divulgation d’informations confidentielles | Important |
CVE-2020-9733 |
AEM 6.5.5.0 et versions antérieures AEM 6.4.8.1 et versions antérieures |
Cross-site scripting (XSS stocké) |
Exécution arbitraire de code JavaScript dans le navigateur |
Critique |
CVE-2020-9734 |
AEM Forms SP5 et versions antérieures |
Cross-site scripting (XSS stocké) |
Exécution arbitraire de code JavaScript dans le navigateur |
Important |
CVE-2020-9735 |
AAEM 6.5.5.0 et versions antérieures AEM 6.4.8.1 et versions antérieures AEM 6.3.3.8 et versions antérieures AEM 6.2 SP1-CFP20 et versions antérieures |
Cross-site scripting (XSS stocké) |
Exécution arbitraire de code JavaScript dans le navigateur |
Important |
CVE-2020-9736 |
AEM 6.5.5.0 et versions antérieures AEM 6.4.8.1 et versions antérieures AEM 6.3.3.8 et versions antérieures AEM 6.2 SP1-CFP20 et versions antérieures |
Cross-site scripting (XSS stocké) |
Exécution arbitraire de code JavaScript dans le navigateur |
Important |
CVE-2020-9737 |
AEM 6.5.5.0 et versions antérieures AEM 6.4.8.1 et versions antérieures AEM 6.3.3.8 et versions antérieures AEM 6.2 SP1-CFP20 et versions antérieures |
Cross-site scripting (XSS stocké) |
Exécution arbitraire de code JavaScript dans le navigateur |
Important |
CVE-2020-9738 |
AEM 6.5.5.0 et versions antérieures AEM 6.4.8.1 et versions antérieures AEM 6.3.3.8 et versions antérieures AEM 6.2 SP1-CFP20 et versions antérieures |
Cross-site scripting (XSS stocké) |
Exécution arbitraire de code JavaScript dans le navigateur |
Critique |
CVE-2020-9740 |
AEM 6.5.5.0 et versions antérieures AEM 6.4.8.1 et versions antérieures AEM 6.3.3.8 et versions antérieures AEM 6.2 SP1-CFP20 et versions antérieures |
Cross-site scripting (XSS stocké) |
Exécution arbitraire de code JavaScript dans le navigateur |
Critique |
CVE-2020-9741 |
AEM Forms SP5 et versions antérieures |
Cross-site scripting (XSS réfléchi) |
Exécution arbitraire de code JavaScript dans le navigateur |
Critique |
CVE-2020-9742 |
AEM 6.5.5.0 et versions antérieures AEM 6.4.8.1 et versions antérieures AEM 6.3.3.8 et versions antérieures |
Injection de HTML |
Injection arbitraire de code HTML dans le navigateur |
Important |
CVE-2020-9743 |
AEM 6.5.5.0 et versions antérieures AEM 6.4.8.1 et versions antérieures AEM 6.3.3.8 et versions antérieures AEM 6.2 SP1-CFP20 et versions antérieures |
Mises à jour des dépendances
Dépendance |
Impact de la vulnérabilité |
Versions concernées |
Handlebars.js |
Exécution arbitraire de code JavaScript dans le navigateur |
AEM 6.5.5.0 et versions antérieures AEM 6.4.8.1 et versions antérieures AEM 6.3.3.8 et versions antérieures AEM 6.2 SP1-CFP20 et versions antérieures |
Lodash.js (supprimé d’AEM) |
Pollution des prototypes |
AEM 6.5.5.0 et versions antérieures AEM 6.4.8.1 et versions antérieures AEM 6.3.3.8 et versions antérieures AEM 6.2 SP1-CFP20 et versions antérieures |
Log4j |
Désérialisation de données non approuvées |
AEM 6.5.5.0 et versions antérieures AEM 6.4.8.1 et versions antérieures AEM 6.3.3.8 et versions antérieures AEM 6.2 SP1-CFP20 et versions antérieures |
Dom4j |
Injection de XXE (Entités XML externes) |
AEM 6.5.5.0 et versions antérieures AEM 6.4.8.1 et versions antérieures AEM 6.3.3.8 et versions antérieures AEM 6.2 SP1-CFP20 et versions antérieures |
Adobe
Recevez de l’aide plus rapidement et plus facilement
Nouvel utilisateur ?