Adobe Experience Manager に関するセキュリティアップデート公開 | APSB19-48
情報 ID 公開日 優先度
APSB19-48 2019 年 10 月 15 日 2

要約

Adobe Experience Manager(AEM)を対象としたセキュリティアップデートが公開されました。    これらのアップデートで、AEM バージョン 6.3、6.4 および 6.5 の複数の脆弱性が解決されます。悪用されると、AEM 環境への不正アクセスが発生する可能性があります。

対象の製品バージョン

製品名 バージョン プラットフォーム
Adobe Experience Manager

6.5

6.4

6.3

6.2

6.1

6.0

すべて

解決策

アドビは、これらのアップデートを次の優先度評価で分類し、対象製品をご利用のお客様に最新バージョンへのアップグレードをお勧めします。

製品名

バージョン

プラットフォーム

優先度

入手方法

 

Adobe Experience Manager

6.5

すべて

2

リリースとアップデート

6.4

すべて

2

リリースとアップデート

6.3

すべて

2

リリースとアップデート

これ以前の AEM バージョンのサポートについては、アドビカスタマーケアにお問い合わせください。

脆弱性に関する詳細

脆弱性のカテゴリー

脆弱性の影響

深刻度

CVE 番号 

対象のバージョン ダウンロードパッケージ
クロスサイトリクエストフォージェリ 機密情報漏えい 重要

CVE-2019-8234

 

AEM 6.2

AEM 6.3

AEM 6.4

6.3 SP3 に関する累積修正パック - AEM-6.3.3.6

6.4 に関する Service Pack - AEM-6.4.6.0

反映されたクロスサイトスクリプティング

機密情報漏えい

 

中度 CVE-2019-8078

AEM 6.2

AEM 6.3

AEM 6.4

6.3 SP3 に関する累積修正パック - AEM-6.3.3.6

6.4 に関する Service Pack - AEM-6.4.6.0

保存れたクロスサイトスクリプティング 機密情報漏えい 重要 CVE-2019-8079

AEM 6.0

AEM 6.1

AEM 6.2

AEM 6.3 

AEM 6.4

6.3 SP3 に関する累積修正パック - AEM-6.3.3.6

6.4 に関する Service Pack - AEM-6.4.4.0

保存れたクロスサイトスクリプティング 権限昇格 重要

CVE-2019-8080

 

AEM 6.3

AEM 6.4

6.3 SP3 に関する累積修正パック - AEM-6.3.3.6

6.4 に関する Service Pack - AEM-6.4.6.0

認証バイパス

 

 

機密情報漏えい 重要 CVE-2019-8081

AEM 6.2

AEM 6.3

AEM 6.4

AEM 6.5 

6.3 SP3 に関する累積修正パック - AEM-6.3.3.6

6.4 に関する Service Pack - AEM-6.4.6.0

6.5 に関する Service Pack - AEM-6.5.2.0 

XML 外部エンティティインジェクション

機密情報漏えい

 

重要 CVE-2019-8082

AEM 6.2

AEM 6.3 

AEM 6.4

6.3 SP3 に関する累積修正パック - AEM-6.3.3.6

6.4 に関する Service Pack - AEM-6.4.6.0

クロスサイトスクリプティング

機密情報漏えい

 

中度

 

CVE-2019-8083

 

AEM 6.3

AEM 6.4

AEM 6.5

6.3 SP3 に関する累積修正パック - AEM-6.3.3.6

6.4 に関する Service Pack - AEM-6.4.6.0

6.5 に関する Service Pack - AEM-6.5.2.0 

反映されたクロスサイトスクリプティング

機密情報漏えい

 

 

中度

 

 

 

 

CVE-2019-8084

 

 

AEM 6.2

AEM 6.3

AEM 6.4 

AEM 6.5

6.3 SP3 に関する累積修正パック - AEM-6.3.3.6

6.4 に関する Service Pack - AEM-6.4.5.0

6.5 に関する Service Pack - AEM-6.5.2.0 

反映されたクロスサイトスクリプティング

 

 

機密情報漏えい

 

 

中度

 

 

 

 

CVE-2019-8085

 

 

AEM 6.2

AEM 6.3

AEM 6.4 

AEM 6.5

6.3 SP3 に関する累積修正パック - AEM-6.3.3.6

6.4 に関する Service Pack - AEM-6.4.5.0

6.5 に関する Service Pack - AEM-6.5.2.0 

XML 外部エンティティインジェクション

 

 

機密情報漏えい

 

 

重要

 

 

CVE-2019-8086

 

 

AEM 6.2

AEM 6.3 

AEM 6.4

AEM 6.5

 

6.3 SP3 に関する累積修正パック - AEM-6.3.3.6

6.4 に関する Service Pack - AEM-6.4.6.0

6.5 に関する Service Pack - AEM-6.5.2.0 

XML 外部エンティティインジェクション

 

 

機密情報漏えい

 

重要

 

 

CVE-2019-8087

 

 

AEM 6.2

AEM 6.3 

AEM 6.4

AEM 6.5

6.3 SP3 に関する累積修正パック - AEM-6.3.3.6

6.4 に関する Service Pack - AEM-6.4.6.0

6.5 に関する Service Pack - AEM-6.5.2.0 

コマンドインジェクション

 

 

任意のコード実行

 

 

クリティカル

 

 

CVE-2019-8088 

 

 

AEM 6.2

AEM 6.3

AEM 6.4

AEM 6.5 

6.3 SP3 に関する累積修正パック - AEM-6.3.3.6

6.4 に関する Service Pack - AEM-6.4.6.0

6.5 に関する Service Pack - AEM-6.5.2.0 

注意:

注記:上記の表にリストするパッケージは、関連する脆弱性に対応する最小限の修正パックです。 最新バージョンについては、上記のリリースノートのリンクを参照してください。

謝辞

この問題を指摘し、ユーザーの保護にご協力いただいた以下の個人および組織の皆様に対し、アドビより厚く御礼を申し上げます。     

  • Mikhail Egorov 氏 @0ang3el (CVE-2019-8086、CVE-2019-8087、CVE-2019-8088)

更新履歴

2019 年 10 月 15 日: CVE ID を CVE-2019-8077 から CVE-2019-8234 に更新しました。