Adobe 安全性公告

發佈 Adobe Experience Manager 的安全性更新 | APSB20-56

安全性公告 ID

發佈日期

優先順序

APSB20-56 

2020 年 9 月 8 日 

2

摘要

Adobe 已發佈 Adobe Experience Manager (AEM) 和 AEM Forms 附加元件套件更新。這些更新旨在解決多項重大重要弱點。這些弱點一旦遭有心人士成功利用,可能導致瀏覽器任意執行 JavaScript。


受影響的產品版本

產品 版本 平台
Adobe Experience Manager
6.5.5.0 (含) 以前版本
全部
6.4.8.1 (含) 以前版本
全部 
6.3.3.8 (含) 以前版本
全部 
6.2 SP1-CFP20 (含) 以前版本
全部 
AEM Forms 附加元件
AEM Forms Service Pack 5 (含) 以前版本
全部 

解決方法

Adobe 依照下列優先順序分級將這些更新分類,並建議使用者將其安裝更新至最新版本:

產品

版本

平台

優先順序

上市情況

 

Adobe Experience Manager (AEM) 

6.5.6.0 

全部

2

AEM 6.5 Service Pack 發行說明  

6.4.8.2 

全部

2

AEM 6.4 Cumulative Fix Pack 發行說明  

AEM Forms 附加元件
AEM Forms Service Pack 6
全部
2
AEM Forms 發行說明 
註解:

Adobe Experience Manager 6.5.6.0 是一項重要更新,不僅內含 2019 年 4 月 6.5 版正式發行以來的全新功能,應重要客戶要求所推出的改善項目,並提升了效能、穩定性以及安全性。  此更新能在 Adobe Experience Manager 6.5 上進行安裝。

註解:

AEM Cumulative Fix Pack 6.4.8.2 是一項重要更新,內含 AEM 6.4 Service Pack 8 (6.4.8.0) 自 2020 年 3 月正式發行以來多項內部與客戶的修正程式。AEM Cumulative Fix Pack 6.4.8.2 相依於 AEM 6.4 Service Pack 8。因此,安裝 AEM Cumulative Fix Pack 6.4.8.2 套件前,請先安裝 AEM 6.4 Service Pack 8。

註解:

若需尋求 AEM 6.3 和 6.2 等版本的相關協助,請洽詢 Adobe 客戶服務

弱點詳細資料

弱點類別

弱點影響

嚴重性

CVE 編號 

受影響的版本
跨網站指令碼 (已儲存)
在瀏覽器中任意執行 JavaScript
重大
CVE-2020-9732

AEM Forms SP5 (含) 以前版本

以不必要權限執行
敏感資訊揭露 重要
CVE-2020-9733

AEM 6.5.5.0 (含) 以前版本

AEM 6.4.8.1 (含) 以前版本

跨網站指令碼 (已儲存)
在瀏覽器中任意執行 JavaScript
重大
CVE-2020-9734
AEM Forms SP5 (含) 以前版本
跨網站指令碼 (已儲存)
在瀏覽器中任意執行 JavaScript
重要
CVE-2020-9735

AEM 6.5.5.0 (含) 以前版本

AEM 6.4.8.1 (含) 以前版本

AEM 6.3.3.8 (含) 以前版本

AEM 6.2 SP1-CFP20 (含) 以前版本

跨網站指令碼 (已儲存)
在瀏覽器中任意執行 JavaScript
重要
CVE-2020-9736

AEM 6.5.5.0 (含) 以前版本

AEM 6.4.8.1 (含) 以前版本

AEM 6.3.3.8 (含) 以前版本

AEM 6.2 SP1-CFP20 (含) 以前版本

跨網站指令碼 (已儲存)
在瀏覽器中任意執行 JavaScript
重要
CVE-2020-9737

AEM 6.5.5.0 (含) 以前版本

AEM 6.4.8.1 (含) 以前版本

AEM 6.3.3.8 (含) 以前版本

AEM 6.2 SP1-CFP20 (含) 以前版本

跨網站指令碼 (已儲存)
在瀏覽器中任意執行 JavaScript
重要

CVE-2020-9738

AEM 6.5.5.0 (含) 以前版本

AEM 6.4.8.1 (含) 以前版本

AEM 6.3.3.8 (含) 以前版本

AEM 6.2 SP1-CFP20 (含) 以前版本

跨網站指令碼 (已儲存)
在瀏覽器中任意執行 JavaScript
重大
CVE-2020-9740

AEM 6.5.5.0 (含) 以前版本

AEM 6.4.8.1 (含) 以前版本

AEM 6.3.3.8 (含) 以前版本

AEM 6.2 SP1-CFP20 (含) 以前版本

跨網站指令碼 (已儲存)
在瀏覽器中任意執行 JavaScript
重大
CVE-2020-9741
AEM Forms SP5 (含) 以前版本
跨網站指令碼 (已反映)
在瀏覽器中任意執行 JavaScript
重大
CVE-2020-9742

AEM 6.5.5.0 (含) 以前版本

AEM 6.4.8.1 (含) 以前版本

AEM 6.3.3.8 (含) 以前版本

插入 HTML 程式
在瀏覽器中任意插入 HTML 程式
重要
CVE-2020-9743

AEM 6.5.5.0 (含) 以前版本

AEM 6.4.8.1 (含) 以前版本

AEM 6.3.3.8 (含) 以前版本

AEM 6.2 SP1-CFP20 (含) 以前版本

相依性更新

相依性

弱點影響

受影響的版本

Handlebars.js

在瀏覽器中任意執行 JavaScript

AEM 6.5.5.0 (含) 以前版本

AEM 6.4.8.1 (含) 以前版本

AEM 6.3.3.8 (含) 以前版本

AEM 6.2 SP1-CFP20 (含) 以前版本

Lodash.js (已從 AEM 移除)

原型遭受污染

AEM 6.5.5.0 (含) 以前版本

AEM 6.4.8.1 (含) 以前版本

AEM 6.3.3.8 (含) 以前版本

AEM 6.2 SP1-CFP20 (含) 以前版本

Log4j

不信任資料的還原序列化

AEM 6.5.5.0 (含) 以前版本

AEM 6.4.8.1 (含) 以前版本

AEM 6.3.3.8 (含) 以前版本

AEM 6.2 SP1-CFP20 (含) 以前版本

Dom4j

插入 XXE (Xml 外部實體)

AEM 6.5.5.0 (含) 以前版本

AEM 6.4.8.1 (含) 以前版本

AEM 6.3.3.8 (含) 以前版本

AEM 6.2 SP1-CFP20 (含) 以前版本

Adobe 標誌

登入您的帳戶

[Feedback V2 Badge]