ID del boletín
Última actualización el
3 may. 2021
Actualizaciones de seguridad disponibles para Adobe Experience Manager | APSB20-56
|
|
Fecha de publicación |
Prioridad |
|---|---|---|
|
APSB20-56 |
martes, 8 de septiembre de 2020 |
2 |
Resumen
Adobe ha publicado actualizaciones para Adobe Experience Manager (AEM) y el paquete del complemento AEM Forms. Estas actualizaciones solucionan vulnerabilidades clasificadas como críticas e importantes.La explotación de estas vulnerabilidades podría resultar en la ejecución arbitraria de JavaScript en el navegador.
Versión afectada del producto
| Producto | Versión | Plataforma |
|---|---|---|
| Adobe Experience Manager |
6.5.5.0 y versiones anteriores |
Todas |
| 6.4.8.1 y versiones anteriores |
Todas |
|
| 6.3.3.8 y versiones anteriores |
Todas |
|
| 6.2 SP1-CFP20 y versiones anteriores |
Todas |
|
| Complemento de AEM Forms |
AEM Forms Service Pack 5 y versiones anteriores |
Todas |
Solución
Adobe categoriza estas actualizaciones de acuerdo con los siguientes niveles de prioridad y recomienda que los usuarios actualicen los programas a las versiones más recientes:
Producto |
Versión |
Plataforma |
Prioridad |
Disponibilidad |
|---|---|---|---|---|
Adobe Experience Manager (AEM) |
6.5.6.0 |
Todas |
2 |
Notas de la versión de AEM 6.5 Service Pack |
6.4.8.2 |
Todas |
2 |
||
| Complemento de AEM Forms |
AEM Forms Service Pack 6 |
Todas |
2 |
Versiones de AEM Forms |
Nota:
Adobe Experience Manager 6.5.6.0 es una actualización importante que incluye nuevas funciones, mejoras clave solicitadas por los clientes, y mejoras de rendimiento, estabilidad y seguridad implementadas desde la publicación de la versión 6.5 en abril de 2019. Se puede instalar sobre Adobe Experience Manager 6.5.
Nota:
AEM Cumulative Fix Pack 6.4.8.2 es una actualización importante que incluye varias correcciones internas y de clientes desde la publicación de AEM 6.4 Service Pack 8 (6.4.8.0) en marzo de 2020. AEM Cumulative Fix Pack 6.4.8.2 depende de AEM 6.4 Service Pack 8. Por lo tanto, debe instalar el paquete AEM Cumulative Fix Pack 6.4.8.2 después de instalar AEM Service Pack 8.
Nota:
Póngase en contacto con el servicio de atención al cliente de Adobe para obtener ayuda relacionada con AEM 6.3 y 6.2.
Detalles sobre la vulnerabilidad
| Categoría de vulnerabilidad |
Impacto de la vulnerabilidad |
Gravedad |
Número CVE |
Versiones afectadas |
|---|---|---|---|---|
| Secuencias de comandos en sitios cruzados (almacenadas) |
Ejecución de JavaScript arbitraria en el navegador |
Crítico |
CVE-2020-9732 | AEM Forms SP5 y versiones anteriores |
| Ejecución con privilegios innecesarios |
Divulgación de información confidencial | Importante |
CVE-2020-9733 |
AEM 6.5.5.0 y versiones anteriores AEM 6.4.8.1 y versiones anteriores |
| Secuencias de comandos en sitios cruzados (almacenadas) |
Ejecución de JavaScript arbitraria en el navegador |
Crítico |
CVE-2020-9734 |
AEM Forms SP5 y versiones anteriores |
| Secuencias de comandos en sitios cruzados (almacenadas) |
Ejecución de JavaScript arbitraria en el navegador |
Importante |
CVE-2020-9735 |
AAEM 6.5.5.0 y versiones anteriores AEM 6.4.8.1 y versiones anteriores AEM 6.3.3.8 y versiones anteriores AEM 6.2 SP1-CFP20 y versiones anteriores |
| Secuencias de comandos en sitios cruzados (almacenadas) |
Ejecución de JavaScript arbitraria en el navegador |
Importante |
CVE-2020-9736 |
AEM 6.5.5.0 y versiones anteriores AEM 6.4.8.1 y versiones anteriores AEM 6.3.3.8 y versiones anteriores AEM 6.2 SP1-CFP20 y versiones anteriores |
| Secuencias de comandos en sitios cruzados (almacenadas) |
Ejecución de JavaScript arbitraria en el navegador |
Importante |
CVE-2020-9737 |
AEM 6.5.5.0 y versiones anteriores AEM 6.4.8.1 y versiones anteriores AEM 6.3.3.8 y versiones anteriores AEM 6.2 SP1-CFP20 y versiones anteriores |
| Secuencias de comandos en sitios cruzados (almacenadas) |
Ejecución de JavaScript arbitraria en el navegador |
Importante |
CVE-2020-9738 |
AEM 6.5.5.0 y versiones anteriores AEM 6.4.8.1 y versiones anteriores AEM 6.3.3.8 y versiones anteriores AEM 6.2 SP1-CFP20 y versiones anteriores |
| Secuencias de comandos en sitios cruzados (almacenadas) |
Ejecución de JavaScript arbitraria en el navegador |
Crítico |
CVE-2020-9740 |
AEM 6.5.5.0 y versiones anteriores AEM 6.4.8.1 y versiones anteriores AEM 6.3.3.8 y versiones anteriores AEM 6.2 SP1-CFP20 y versiones anteriores |
| Secuencias de comandos en sitios cruzados (almacenadas) |
Ejecución de JavaScript arbitraria en el navegador |
Crítico |
CVE-2020-9741 |
AEM Forms SP5 y versiones anteriores |
| Secuencias de comandos en sitios cruzados (reflejadas) |
Ejecución de JavaScript arbitraria en el navegador |
Crítico |
CVE-2020-9742 |
AEM 6.5.5.0 y versiones anteriores AEM 6.4.8.1 y versiones anteriores AEM 6.3.3.8 y versiones anteriores |
| Inyección HTML |
Inyección HTML arbitraria en el navegador |
Importante |
CVE-2020-9743 |
AEM 6.5.5.0 y versiones anteriores AEM 6.4.8.1 y versiones anteriores AEM 6.3.3.8 y versiones anteriores AEM 6.2 SP1-CFP20 y versiones anteriores |
Actualizaciones de dependencias
|
Dependencia |
Impacto de la vulnerabilidad |
Versiones afectadas |
|
Handlebars.js |
Ejecución de JavaScript arbitraria en el navegador |
AEM 6.5.5.0 y versiones anteriores AEM 6.4.8.1 y versiones anteriores AEM 6.3.3.8 y versiones anteriores AEM 6.2 SP1-CFP20 y versiones anteriores |
|
Lodash.js (eliminado de AEM) |
Contaminación por prototipo |
AEM 6.5.5.0 y versiones anteriores AEM 6.4.8.1 y versiones anteriores AEM 6.3.3.8 y versiones anteriores AEM 6.2 SP1-CFP20 y versiones anteriores |
|
Log4j |
Deserialización de datos que no son de confianza |
AEM 6.5.5.0 y versiones anteriores AEM 6.4.8.1 y versiones anteriores AEM 6.3.3.8 y versiones anteriores AEM 6.2 SP1-CFP20 y versiones anteriores |
|
Dom4j |
Inyección XXE (entidad externa XML) |
AEM 6.5.5.0 y versiones anteriores AEM 6.4.8.1 y versiones anteriores AEM 6.3.3.8 y versiones anteriores AEM 6.2 SP1-CFP20 y versiones anteriores |
