Boletín de seguridad de Adobe

Actualizaciones de seguridad disponibles para Adobe Experience Manager

Fecha de publicación: 13 de diciembre de 2016

Última actualización: 14 de diciembre de 2016

Identificador de vulnerabilidad: APSB16-42

Prioridad: 2

Número CVE: CVE-2016-7882, CVE-2016-7883, CVE-2016-7884, CVE-2016-7885

Plataforma: Todas

Resumen

Adobe ha publicado actualizaciones de seguridad para Adobe Experience Manager. Estas actualizaciones solucionan tres problemas de validación de entradas importantes que podrían utilizarse en ataques de secuencias de comandos en sitios cruzados (CVE-2016-7882, CVE-2016-7883 y CVE-2016-7884) e incluyen una actualización para proteger a los usuarios frente a vulnerabilidades importantes de falsificación de solicitud entre sitios (CVE-2016-7885).

Versiones afectadas

Producto Versiones afectadas Plataforma
  6.2 Todas
Adobe Experience Manager 6.1 Todas
  6.0 Todas

Solución

Adobe recomienda a los clientes con implementaciones in situ que instalen las actualizaciones disponibles que se indican a continuación. Además, los clientes deben revisar e implementar los pasos descritos en las comprobaciones de seguridad para las versiones 6.26.1 o 6.0.

Producto Versiones Nivel de prioridad Disponibilidad
  6.2
2 Nota de la versión
Adobe Experience Manager 6,1 2 Nota de la versión
  6,0 2 Nota de la versión

Ponte en contacto con el equipo de atención al cliente de Adobe para obtener ayuda relacionada con las versiones anteriores de AEM.

Detalles sobre la vulnerabilidad

Descripción CVE Versiones afectadas Paquete de descarga

Las actualizaciones solucionan un problema de validación de entradas importante en el filtro WCMDebug que podría utilizarse en ataques de secuencias de comandos en sitios cruzados.

CVE-2016-7882
6.2 y versiones anteriores Revisión 12444 para 6.2
Revisión 12444 para 6.1 SP2 [0]
Revisión 12444 para 6.0 SP3

Las actualizaciones solucionan un problema de validación de entradas importante en el asistente para crear lanzamientos que podría utilizarse en ataques de secuencias de comandos en sitios cruzados.

CVE-2016-7883
6.2 Revisión 13062 para la versión 6.2

Las actualizaciones solucionan un problema de validación de entradas importante en la creación de elementos de DAM que podría utilizarse en ataques de secuencias de comandos en sitios cruzados.

CVE-2016-7884
6.1 y versiones anteriores Pack de revisiones acumulativo para la versión 6.1 SP2
Revisión 13297 para la versión 6.0 SP3

Las actualizaciones en el componente Jackrabbit permiten proteger a los usuarios frente a la falsificación de solicitud entre sitios.

CVE-2016-7885 6.2 y versiones anteriores Revisión 13547 para 6.2
Revisión 12817 para 6.1
Revisión 12846 para 6.0

[0] Nota: la revisión 12444 para 6.1 SP2 se incluye en AEM 6.1 SP2 CFP2.

Reconocimientos

Adobe desea dar las gracias a Daniel Hamid por informar sobre la vulnerabilidad CVE-2016-7882 y por colaborar con Adobe para ayudarnos a proteger la seguridad de nuestros clientes.  CVE-2016-7883, CVE-2016-7884 y CVE-2016-7885 se han notificado de forma anónima.

Revisiones

14 de diciembre de 2016: se han modificado las plataformas afectadas a todas (anteriormente solo se especificaban Windows, Unix, Linux y OS X). Además, se incluye una nota para aclarar que la revisión 12444 ya se incluía con AEM 6.1 SP2 CFP2.