安全性公告 ID
上次更新時間
2021年4月29日
發佈 Adobe Experience Manager 的安全性更新 | APSB19-48
|
|
發佈日期 |
優先順序 |
|---|---|---|
|
APSB19-48 |
2019 年 10 月 15 日 |
2 |
摘要
Adobe 已發佈 Adobe Experience Manager (AEM) 的安全性更新。這些更新可解決 AEM 6.3、6.4 和 6.5 版本的多個弱點。這些弱點一旦遭有心人士利用,對方就可能會擅自存取 AEM 環境。
受影響的產品版本
|
產品 |
版本 |
平台 |
|---|---|---|
|
Adobe Experience Manager |
6.5 6.4 6.3 6.2 6.1 6.0 |
全部 |
解決方法
Adobe 依照下列優先順序分級將這些更新分類,並建議使用者將其安裝更新至最新版本:
如需 AEM 舊版的協助,請連絡 Adobe 客戶服務。
弱點詳細資料
| 弱點類別 |
弱點影響 |
嚴重性 |
CVE 編號 |
受影響的版本 | 下載套件 |
|---|---|---|---|---|---|
| 跨網站請求偽造 | 敏感資訊揭露 | 重要 | CVE-2019-8234
|
AEM 6.2 AEM 6.3 AEM 6.4 |
|
| 反映式跨網站指令碼 | 敏感資訊揭露
|
中度 | CVE-2019-8078 | AEM 6.2 AEM 6.3 AEM 6.4 |
|
| 儲存式跨網站指令碼 | 敏感資訊揭露 | 重要 | CVE-2019-8079 | AEM 6.0 AEM 6.1 AEM 6.2 AEM 6.3 AEM 6.4 |
|
| 儲存式跨網站指令碼 | 權限竊取 | 重要 | CVE-2019-8080
|
AEM 6.3 AEM 6.4 |
|
驗證無故省略
|
敏感資訊揭露 | 重要 | CVE-2019-8081 | AEM 6.2 AEM 6.3 AEM 6.4 AEM 6.5 |
6.3 版 SP3 累積修補程式套件 – AEM-6.3.3.6 |
| XML 外部實體插入 | 敏感資訊揭露
|
重要 | CVE-2019-8082 | AEM 6.2 AEM 6.3 AEM 6.4 |
|
| 跨網站指令碼 | 敏感資訊揭露
|
中度
|
CVE-2019-8083
|
AEM 6.3 AEM 6.4 AEM 6.5 |
6.3 版 SP3 累積修補程式套件 – AEM-6.3.3.6 |
| 反映式跨網站指令碼 | 敏感資訊揭露
|
中度
|
CVE-2019-8084
|
AEM 6.2 AEM 6.3 AEM 6.4 AEM 6.5 |
6.3 版 SP3 累積修補程式套件 – AEM-6.3.3.6 |
反映式跨網站指令碼
|
敏感資訊揭露
|
中度
|
CVE-2019-8085
|
AEM 6.2 AEM 6.3 AEM 6.4 AEM 6.5 |
6.3 版 SP3 累積修補程式套件 – AEM-6.3.3.6 |
XML 外部實體插入
|
敏感資訊揭露
|
重要
|
CVE-2019-8086
|
AEM 6.2 AEM 6.3 AEM 6.4 AEM 6.5
|
6.3 版 SP3 累積修補程式套件 – AEM-6.3.3.6 |
XML 外部實體插入
|
敏感資訊揭露
|
重要
|
CVE-2019-8087
|
AEM 6.2 AEM 6.3 AEM 6.4 AEM 6.5 |
6.3 版 SP3 累積修補程式套件 – AEM-6.3.3.6 |
JavaScript 程式碼插入
|
任意執行程式碼
|
重大
|
CVE-2019-8088*
|
AEM 6.2 AEM 6.3 AEM 6.4 AEM 6.5
|
6.3 版 SP3 累積修補程式套件 – AEM-6.3.3.6 |
註解:
JavaScript 程式碼執行 (CVE-2019-8088) 僅影響 6.2 版。 自 6.3 版開始,使用嚴格沙盒環境的 Rhino 引擎會用來執行 JavaScript,這會減少 CVE-2019-8088 的影響,讓伺服器端偽造要求 (SSRF) 攻擊和阻絕服務 (DoS) 無法發揮作用。
註解:
注意:上表所列套件為解決相關弱點所需的最低版本修補程式套件。 如欲取得最新版本,請利用上方提及的版本說明連結。
鳴謝
Adobe 在此感謝以下個人和組織提報相關問題,並與 Adobe 合作,協助我們保護客戶:
Lorenzo Pirondini (Cognizant 數位事業旗下的 Netcentric) (CVE-2019-8078、CVE-2019-8079、CVE-2019-8080、CVE-2019-8083、CVE-2019-8084、CVE-2019-8085)
T. Rowe Price Associates, Inc. 的 Pankaj Upadhyay (https://pankajupadhyay.in) (CVE-2019-8081)
Mikhail Egorov @0ang3el (CVE-2019-8086、CVE-2019-8087、CVE-2019-8088)
修訂
2019 年 10 月 15 日:將 CVE ID 從 CVE-2019-8077 更新至 CVE-2019-8234。
2020 年 3 月 11 日:新增說明,釐清 JavaScript 程式碼執行作業 (CVE-2019-8088) 僅會影響 AEM 6.2。
