Boletín de seguridad de Adobe

Actualizaciones de seguridad disponibles para Adobe Experience Manager | APSB19-48

ID del boletín

Fecha de publicación

Prioridad

APSB19-48

15 de octubre de 2019

2

Resumen

Adobe ha publicado actualizaciones de seguridad para Adobe Experience Manager (AEM). Estas actualizaciones solucionan varias vulnerabilidades en las versiones 6.3, 6.4 y 6.5 de AEM. Estas vulnerabilidades pueden permitir el acceso no autorizado al entorno de AEM.

Versión afectada del producto

Producto

Versión

Plataforma

Adobe Experience Manager

6.5

6.4

6.3

6.2

6.1

6.0

Todas

Solución

Adobe categoriza estas actualizaciones de acuerdo con los siguientes niveles de prioridad y recomienda que los usuarios actualicen los programas a las versiones más recientes:

Producto

Versión

Plataforma

Prioridad

Disponibilidad

 

Adobe Experience Manager

6.5

Todas

2

Versiones y actualizaciones

6.4

Todas

2

Versiones y actualizaciones

6.3

Todas

2

Versiones y actualizaciones

Póngase en contacto con el Servicio de atención al cliente de Adobe para recibir ayuda para las versiones de AEM anteriores.

Detalles sobre la vulnerabilidad

Categoría de vulnerabilidad

Impacto de la vulnerabilidad

Gravedad

Número CVE 

Versiones afectadas Paquete de descarga
Cross-Site Request Forgery (CSRF) Divulgación de información confidencial Importante

CVE-2019-8234

 

AEM 6.2

AEM 6.3

AEM 6.4

Pack de revisiones acumulativo para la versión 6.3 SP3 – AEM-6.3.3.6

Service Pack para 6.4 - AEM-6.4.6.0

Ataques mediante secuencias de comandos en sitios cruzados reflejados

Divulgación de información confidencial

 

Moderado CVE-2019-8078

AEM 6.2

AEM 6.3

AEM 6.4

Pack de revisiones acumulativo para la versión 6.3 SP3 – AEM-6.3.3.6

Service Pack para 6.4 - AEM-6.4.6.0

Ataques mediante secuencias de comandos en sitios cruzados almacenados Divulgación de información confidencial Importante CVE-2019-8079

AEM 6.0

AEM 6.1

AEM 6.2

AEM 6.3 

AEM 6.4

Pack de revisiones acumulativo para la versión 6.3 SP3 – AEM-6.3.3.6

Service Pack para 6.4 - AEM-6.4.4.0

Ataques mediante secuencias de comandos en sitios cruzados almacenados Escalación de privilegios Importante 

CVE-2019-8080

 

AEM 6.3

AEM 6.4

Pack de revisiones acumulativo para la versión 6.3 SP3 – AEM-6.3.3.6

Service Pack para 6.4 - AEM-6.4.6.0

Omisión de autenticación

 

 

Divulgación de información confidencial Importante CVE-2019-8081

AEM 6.2

AEM 6.3

AEM 6.4

AEM 6.5 

Pack de revisiones acumulativo para la versión 6.3 SP3 – AEM-6.3.3.6

Service Pack para 6.4 - AEM-6.4.6.0

Service Pack para 6.5 - AEM-6.5.2.0 

Inyección de entidad externa XML

Divulgación de información confidencial

 

Importante CVE-2019-8082

AEM 6.2

AEM 6.3 

AEM 6.4

Pack de revisiones acumulativo para la versión 6.3 SP3 – AEM-6.3.3.6

Service Pack para 6.4 - AEM-6.4.6.0

Secuencias de comandos en sitios

Divulgación de información confidencial

 

Moderado

 

CVE-2019-8083

 

AEM 6.3

AEM 6.4

AEM 6.5

Pack de revisiones acumulativo para la versión 6.3 SP3 – AEM-6.3.3.6

Service Pack para 6.4 - AEM-6.4.6.0

Service Pack para 6.5 - AEM-6.5.2.0 

Ataques mediante secuencias de comandos en sitios cruzados reflejados

Divulgación de información confidencial

 

 

Moderado

 

 

 

 

CVE-2019-8084

 

 

AEM 6.2

AEM 6.3

AEM 6.4 

AEM 6.5

Pack de revisiones acumulativo para la versión 6.3 SP3 – AEM-6.3.3.6

Service Pack para 6.4 - AEM-6.4.5.0

Service Pack para 6.5 - AEM-6.5.2.0 

Ataques mediante secuencias de comandos en sitios cruzados reflejados

 

 

Divulgación de información confidencial

 

 

Moderado

 

 

 

 

CVE-2019-8085

 

 

AEM 6.2

AEM 6.3

AEM 6.4 

AEM 6.5

Pack de revisiones acumulativo para la versión 6.3 SP3 – AEM-6.3.3.6

Service Pack para 6.4 - AEM-6.4.5.0

Service Pack para 6.5 - AEM-6.5.2.0 

Inyección de entidad externa XML

 

 

Divulgación de información confidencial

 

 

Importante

 

 

CVE-2019-8086

 

 

AEM 6.2

AEM 6.3 

AEM 6.4

AEM 6.5

 

Pack de revisiones acumulativo para la versión 6.3 SP3 – AEM-6.3.3.6

Service Pack para 6.4 - AEM-6.4.6.0

Service Pack para 6.5 - AEM-6.5.2.0 

Inyección de entidad externa XML

 

 

Divulgación de información confidencial

 

Importante

 

 

CVE-2019-8087

 

 

AEM 6.2

AEM 6.3 

AEM 6.4

AEM 6.5

Pack de revisiones acumulativo para la versión 6.3 SP3 – AEM-6.3.3.6

Service Pack para 6.4 - AEM-6.4.6.0

Service Pack para 6.5 - AEM-6.5.2.0 

Inyección de código JavaScript

 

 

Ejecución arbitraria de código

 

 

Crítico

 

 

CVE-2019-8088*

 

 

AEM 6.2

AEM 6.3

AEM 6.4

AEM 6.5

 

Pack de revisiones acumulativo para la versión 6.3 SP3 – AEM-6.3.3.6

Service Pack para 6.4 - AEM-6.4.6.0

Service Pack para 6.5 - AEM-6.5.2.0 

Nota:

La ejecución de código JavaScript (CVE-2019-8088) solo afecta a la versión 6.2.  A partir de la versión 6.3, el motor Rhino estrictamente aislado se utiliza para ejecutar JavaScript, lo que reduce el impacto de CVE-2019-8088 en ataques ciegos de falsificación de solicitudes del servidor (SSRF) y denegación de servicio (DoS). 

Nota:

Nota: Los paquetes enumerados en la tabla anterior son los paquetes de soluciones necesarios para solucionar la vulnerabilidad correspondiente.  Para obtener las versiones más recientes, consulta los enlaces de las notas de publicación anteriores.

Reconocimientos

Adobe desea dar las gracias a las siguientes personas y organizaciones por informar de problemas relevantes y por colaborar con Adobe para ayudarnos a proteger la seguridad de nuestros clientes:     

  • Mikhail Egorov @0ang3el (CVE-2019-8086, CVE-2019-8087, CVE-2019-8088)

Revisiones

15 de octubre de 2019: ID de CVE actualizado de CVE-2019-8077 a CVE-2019-8234.

11 de marzo de 2020: Se agregó una nota para aclarar que la ejecución de código JavaScript (CVE-2019-8088) solo afecta a AEM 6.2.  

Logotipo de Adobe

Inicia sesión en tu cuenta