Adobe セキュリティ速報

Adobe Experience Manager に関するセキュリティアップデート公開 | APSB20-56

情報 ID

公開日

優先度

APSB20-56 

2020 年 9 月 8 日 

2

要約

Adobe Experience Manager (AEM)および AEM Forms アドオンパッケージを対象とするアップデートが公開されました。これらのアップデートは、クリティカルおよび重要に分類される脆弱性を解決します。この脆弱性が悪用されると、ブラウザーで任意の JavaScript が実行されるおそれがあります。


対象の製品バージョン

製品名 バージョン プラットフォーム
Adobe Experience Manager
6.5.5.0 以前のバージョン 
すべて
6.4.8.1 とそれ以前のバージョン 
すべて 
6.3.3.8 とそれ以前のバージョン 
すべて 
6.2 SP1-CFP20 以前のバージョン 
すべて 
AEM Forms アドオン 
AEM Forms Service Pack 5 以前のバージョン 
すべて 

解決策

アドビは、これらのアップデートを次の優先度評価で分類し、対象製品をご利用のお客様に最新バージョンへのアップグレードをお勧めします。

製品名

バージョン

プラットフォーム

優先度

入手方法

 

Adobe Experience Manager (AEM) 

6.5.6.0 

すべて

2

AEM 6.5 Service Pack リリースノート  

6.4.8.2 

すべて

2

AEM 6.4 Cumulative Fix Pack リリースノート  

AEM Forms アドオン
AEM Forms Service Pack 6
すべて
2
AEM Forms リリース 
注意:

Adobe Experience Manager 6.5.6.0 は、2019 年 4 月の 6.5 リリースの一般提供開始以降にリリースされた新機能、お客様から要望の多かった主要な機能強化、パフォーマンス、安定性、セキュリティの改善を含む重要なアップデートです。  Adobe Experience Manager 6.5 の上にインストールできます。

注意:

AEM Cumulative Fix Pack 6.4.8.2 は、2020 年 3 月に AEM 6.4 Service Pack 8 (6.4.8.0)が一般に公開されて以来の社内およびお客様向けの複数の修正を含む重要なアップデートです。AEM Cumulative Fix Pack 6.4.8.2 は、AEM 6.4 Service Pack 8 に依存します。 したがって、AEM 6.4 Service Pack 8 をインストール後に、AEM Cumulative Fix Pack 6.4.8.2 パッケージをインストールしてください。

注意:

AEM バージョン 6.3 および 6.2 のサポートについては、アドビカスタマケアにお問い合わせください。

脆弱性に関する詳細

脆弱性のカテゴリー

脆弱性の影響

深刻度

CVE 番号 

対象のバージョン
クロスサイトスクリプティング(保存)
ブラウザーでの任意の JavaScript 実行
クリティカル
CVE-2020-9732

AEM Forms SP5 以前

不要な権限での実行
機密情報漏えい 重要
CVE-2020-9733

AEM 6.5.5.0 以前

AEM 6.4.8.1 以前

クロスサイトスクリプティング(保存)
ブラウザーでの任意の JavaScript 実行
クリティカル
CVE-2020-9734
AEM Forms SP5 以前
クロスサイトスクリプティング(保存)
ブラウザーでの任意の JavaScript 実行
重要
CVE-2020-9735

AEM 6.5.5.0 以前

AEM 6.4.8.1 以前

AEM 6.3.3.8 以前

AEM 6.2 SP1-CFP20 以前

クロスサイトスクリプティング(保存)
ブラウザーでの任意の JavaScript 実行
重要
CVE-2020-9736

AEM 6.5.5.0 以前

AEM 6.4.8.1 以前

AEM 6.3.3.8 以前

AEM 6.2 SP1-CFP20 以前

クロスサイトスクリプティング(保存)
ブラウザーでの任意の JavaScript 実行
重要
CVE-2020-9737

AEM 6.5.5.0 以前

AEM 6.4.8.1 以前

AEM 6.3.3.8 以前

AEM 6.2 SP1-CFP20 以前

クロスサイトスクリプティング(保存)
ブラウザーでの任意の JavaScript 実行
重要

CVE-2020-9738

AEM 6.5.5.0 以前

AEM 6.4.8.1 以前

AEM 6.3.3.8 以前

AEM 6.2 SP1-CFP20 以前

クロスサイトスクリプティング(保存)
ブラウザーでの任意の JavaScript 実行
クリティカル
CVE-2020-9740

AEM 6.5.5.0 以前

AEM 6.4.8.1 以前

AEM 6.3.3.8 以前

AEM 6.2 SP1-CFP20 以前

クロスサイトスクリプティング(保存)
ブラウザーでの任意の JavaScript 実行
クリティカル
CVE-2020-9741
AEM Forms SP5 以前
クロスサイトスクリプティング(反映)
ブラウザーでの任意の JavaScript 実行
クリティカル
CVE-2020-9742

AEM 6.5.5.0 以前

AEM 6.4.8.1 以前

AEM 6.3.3.8 以前

HTML インジェクション
ブラウザーでの任意の HTML インジェクション
重要
CVE-2020-9743

AEM 6.5.5.0 以前

AEM 6.4.8.1 以前

AEM 6.3.3.8 以前

AEM 6.2 SP1-CFP20 以前

依存関係の更新

依存性

脆弱性の影響

対象のバージョン

Handlebars.js

ブラウザーでの任意の JavaScript 実行

AEM 6.5.5.0 以前

AEM 6.4.8.1 以前

AEM 6.3.3.8 以前

AEM 6.2 SP1-CFP20 以前

Lodash.js (AEMから削除)

プロトタイプ汚染

AEM 6.5.5.0 以前

AEM 6.4.8.1 以前

AEM 6.3.3.8 以前

AEM 6.2 SP1-CFP20 以前

Log4j

信頼されないデータのデシリアライゼーション

AEM 6.5.5.0 以前

AEM 6.4.8.1 以前

AEM 6.3.3.8 以前

AEM 6.2 SP1-CFP20 以前

Dom4j

XXE (Xml eXternal Entity)インジェクション

AEM 6.5.5.0 以前

AEM 6.4.8.1 以前

AEM 6.3.3.8 以前

AEM 6.2 SP1-CFP20 以前

アドビのロゴ

アカウントにログイン