Bollettino sulla sicurezza di Adobe

Aggiornamenti di sicurezza disponibili per Adobe Experience Manager | APSB20-72

ID bollettino

Data di pubblicazione

Priorità

APSB20-72

8 dicembre 2020 

2

Riepilogo

Adobe ha rilasciato aggiornamenti per Adobe Experience Manager (AEM) e il pacchetto del componente aggiuntivo AEM Forms. Questi aggiornamenti risolvono vulnerabilità Importanti e Critiche.  


Versioni del prodotto interessate

Prodotto Versione Piattaforma

 

 

Adobe Experience Manager (AEM)

Cloud Service AEM (CS)
Tutte
6.5.6.0 e versioni precedenti
Tutte
6.4.8.2 e versioni precedenti
Tutte 
6.3.3.8 e versioni precedenti
Tutte 
6.2 SP1-CFP20 e versioni precedenti 
Tutte 
Componente aggiuntivo AEM Forms 
Pacchetto aggiuntivo AEM Forms Service Pack 6 per AEM 6.5.6.0
Tutte 
Pacchetto aggiuntivo AEM Forms per AEM 6.4 Service Pack 8 Cumulative Fix Pack 2 (6.4.8.2)
Tutte

Soluzione

Adobe classifica questi aggiornamenti in base ai seguenti livelli di priorità e consiglia agli utenti interessati di aggiornare la propria installazione alla versione più recente:

Prodotto

Versione

Piattaforma

Priorità

Disponibilità

 

Adobe Experience Manager (AEM) 

Cloud Service AEM (CS)
Tutte 2 Note sul rilascio

6.5.7.0 

Tutte

2

Note sulla versione AEM 6.5 Service Pack   

6.4.8.3

Tutte

2

AEM 6.4 - Note sulla versione del pacchetto di correzioni cumulative  

 

Componente aggiuntivo AEM Forms

AEM Forms Service Pack 7
Tutte
2
AEM Forms Release 
AEM 6.4 Service Pack 8 CFP 3
Tutte 2 AEM Forms Release
Nota:

I clienti in esecuzione sul Cloud Service di Adobe Experience Manager riceveranno automaticamente aggiornamenti che includono nuove funzioni, nonché correzioni di bug di sicurezza e funzionalità.  

Nota:

Adobe Experience Manager 6.5.7.0 è un aggiornamento importante che include nuove funzioni, miglioramenti fondamentali richiesti dai clienti e miglioramenti a livello di prestazioni, stabilità e sicurezza rilasciati a partire dalla versione 6.5 di aprile 2019.  Può essere installato su Adobe Experience Manager 6.5.

Nota:

AEM Cumulative Fix Pack 6.4.8.3 è un aggiornamento importante che include diverse correzioni interne e per i clienti, poiché la disponibilità generale di AEM 6.4 Service Pack 8 (6.4.8.0) nel marzo 2020. AEM Cumulative Fix Pack 6.4.8.3 dipende da AEM 6.4 Service Pack 8. Pertanto, è necessario installare il pacchetto AEM cumulativo di correzioni 6.4.8.3 dopo aver installato AEM 6.4 Service Pack 8.

Nota:

Per ricevere assistenza sulle versioni di AEM precedenti, gli utenti possono contattare l'Assistenza clienti Adobe.

Dettagli della vulnerabilità

Categoria della vulnerabilità

Impatto della vulnerabilità

Gravità

Codice CVE 

Versioni interessate

Blind Server-side request forgery

Divulgazione di informazioni riservate

Importante

CVE-2020-24444

Componente aggiuntivo AEM Forms SP6 AEM 6.5.6.0 e versioni precedenti

Pacchetto aggiuntivo AEM Forms per AEM 6.4 Service Pack 8 Cumulative Fix Pack 2 (6.4.8.2) e versioni precedenti

Vulnerabilità cross-site scripting (memorizzate)

Esecuzione arbitraria di JavaScript nel browser

Critica

CVE-2020-24445

AEM CS

AEM 6.5.6.0 e versioni precedenti

Aggiornamenti alle dipendenze

Dipendenza
Impatto della vulnerabilità
Versioni interessate
Apache Abdera
Consumo di risorse

AEM CS

AEM 6.5.6.0 e versioni precedenti

AEM 6.4.8.2 e versioni precedenti

AEM 6.3.3.8 e versioni precedenti

Apache Batik
Server-side request forgery

AEM CS

AEM 6.5.6.0 e versioni precedenti

AEM 6.4.8.2 e versioni precedenti

AEM 6.3.3.8 e versioni precedenti

Apache Commons Compress
Consumo di risorse

AEM CS

AEM 6.5.6.0 e versioni precedenti

AEM 6.4.8.2 e versioni precedenti

AEM 6.3.3.8 e versioni precedenti

Apache OpenNLP
Aggiunta dell'entità esterna XML (XXE)

AEM CS

AEM 6.5.6.0 e versioni precedenti

AEM 6.4.8.2 e versioni precedenti

AEM 6.3.3.8 e versioni precedenti

Servizio di pianificazione Apache Sling
Aggiunta dell'entità esterna XML (XXE)

AEM CS

AEM 6.5.6.0 e versioni precedenti

AEM 6.4.8.2 e versioni precedenti

AEM 6.3.3.8 e versioni precedenti

Apache Xerces2
Consumo di risorse

AEM CS

AEM 6.5.6.0 e versioni precedenti

AEM 6.4.8.2 e versioni precedenti

AEM 6.3.3.8 e versioni precedenti

CKEditor
Esecuzione arbitraria di JavaScript nel browser

AEM CS

AEM 6.5.6.0 e versioni precedenti

AEM 6.4.8.2 e versioni precedenti

AEM 6.3.3.8 e versioni precedenti

Eclipse Jetty
Consumo di risorse

AEM CS

AEM 6.5.6.0 e versioni precedenti

AEM 6.4.8.2 e versioni precedenti

AEM 6.3.3.8 e versioni precedenti

Google-oauth-client
Autorizzazione impropria

AEM CS

AEM 6.5.6.0 e versioni precedenti

AEM 6.4.8.2 e versioni precedenti

AEM 6.3.3.8 e versioni precedenti

Handlebars.js
Inquinamento da prototipi

AEM CS

AEM 6.5.6.0 e versioni precedenti

AEM 6.4.8.2 e versioni precedenti

AEM 6.3.3.8 e versioni precedenti

Jackson Mapper
Aggiunta dell'entità esterna XML (XXE)

AEM CS

AEM 6.5.6.0 e versioni precedenti

AEM 6.4.8.2 e versioni precedenti

AEM 6.3.3.8 e versioni precedenti

jQuery
Esecuzione arbitraria di JavaScript nel browser

AEM CS

AEM 6.5.6.0 e versioni precedenti

AEM 6.4.8.2 e versioni precedenti

AEM 6.3.3.8 e versioni precedenti

Framework Spring
Directory Traversal

AEM CS

AEM 6.5.6.0 e versioni precedenti

AEM 6.4.8.2 e versioni precedenti

AEM 6.3.3.8 e versioni precedenti

Zip4j
Directory Traversal

AEM CS

AEM 6.5.6.0 e versioni precedenti

AEM 6.4.8.2 e versioni precedenti

AEM 6.3.3.8 e versioni precedenti

Ringraziamenti

Adobe desidera ringraziare Frank Karlstrøm e Kenny Jansson di Storebrand Group, Norvegia (CVE-2020-24444) per aver collaborato con Adobe per proteggere la sicurezza dei nostri clienti.

Revisioni

13 gennaio 2021: Sono stati rimossi i AEM 6.4.8.2 e 6.3.3.8 dall'elenco delle versioni interessate dalla vulnerabilità CVE-2020-24445.  

Logo Adobe

Accedi al tuo account

[Feedback V2 Badge]