Boletín de seguridad de Adobe

Actualizaciones de seguridad disponibles para Adobe Experience Manager | APSB20-56

ID del boletín

Fecha de publicación

Prioridad

APSB20-56 

martes, 8 de septiembre de 2020 

2

Resumen

Adobe ha publicado actualizaciones para Adobe Experience Manager (AEM) y el paquete del complemento AEM Forms. Estas actualizaciones solucionan vulnerabilidades clasificadas como críticas e importantes.La explotación de estas vulnerabilidades podría resultar en la ejecución arbitraria de JavaScript en el navegador.


Versión afectada del producto

Producto Versión Plataforma
Adobe Experience Manager
6.5.5.0 y versiones anteriores 
Todas
6.4.8.1 y versiones anteriores 
Todas 
6.3.3.8 y versiones anteriores 
Todas 
6.2 SP1-CFP20 y versiones anteriores 
Todas 
Complemento de AEM Forms 
AEM Forms Service Pack 5 y versiones anteriores 
Todas 

Solución

Adobe categoriza estas actualizaciones de acuerdo con los siguientes niveles de prioridad y recomienda que los usuarios actualicen los programas a las versiones más recientes:

Producto

Versión

Plataforma

Prioridad

Disponibilidad

 

Adobe Experience Manager (AEM) 

6.5.6.0 

Todas

2

Notas de la versión de AEM 6.5 Service Pack

6.4.8.2 

Todas

2

Notas de la versión de AEM 6.4 Cumulative Fix Pack  

Complemento de AEM Forms
AEM Forms Service Pack 6
Todas
2
Versiones de AEM Forms 
Nota:

Adobe Experience Manager 6.5.6.0 es una actualización importante que incluye nuevas funciones, mejoras clave solicitadas por los clientes, y mejoras de rendimiento, estabilidad y seguridad implementadas desde la publicación de la versión 6.5 en abril de 2019.  Se puede instalar sobre Adobe Experience Manager 6.5.

Nota:

AEM Cumulative Fix Pack 6.4.8.2 es una actualización importante que incluye varias correcciones internas y de clientes desde la publicación de AEM 6.4 Service Pack 8 (6.4.8.0) en marzo de 2020. AEM Cumulative Fix Pack 6.4.8.2 depende de AEM 6.4 Service Pack 8. Por lo tanto, debe instalar el paquete AEM Cumulative Fix Pack 6.4.8.2 después de instalar AEM Service Pack 8.

Nota:

Póngase en contacto con el servicio de atención al cliente de Adobe para obtener ayuda relacionada con AEM 6.3 y 6.2.

Detalles sobre la vulnerabilidad

Categoría de vulnerabilidad

Impacto de la vulnerabilidad

Gravedad

Número CVE 

Versiones afectadas
Secuencias de comandos en sitios cruzados (almacenadas)
Ejecución de JavaScript arbitraria en el navegador
Crítico
CVE-2020-9732

AEM Forms SP5 y versiones anteriores

Ejecución con privilegios innecesarios
Divulgación de información confidencial Importante
CVE-2020-9733

AEM 6.5.5.0 y versiones anteriores

AEM 6.4.8.1 y versiones anteriores

Secuencias de comandos en sitios cruzados (almacenadas)
Ejecución de JavaScript arbitraria en el navegador
Crítico
CVE-2020-9734
AEM Forms SP5 y versiones anteriores
Secuencias de comandos en sitios cruzados (almacenadas)
Ejecución de JavaScript arbitraria en el navegador
Importante
CVE-2020-9735

AAEM 6.5.5.0 y versiones anteriores

AEM 6.4.8.1 y versiones anteriores

AEM 6.3.3.8 y versiones anteriores

AEM 6.2 SP1-CFP20 y versiones anteriores

Secuencias de comandos en sitios cruzados (almacenadas)
Ejecución de JavaScript arbitraria en el navegador
Importante
CVE-2020-9736

AEM 6.5.5.0 y versiones anteriores

AEM 6.4.8.1 y versiones anteriores

AEM 6.3.3.8 y versiones anteriores

AEM 6.2 SP1-CFP20 y versiones anteriores

Secuencias de comandos en sitios cruzados (almacenadas)
Ejecución de JavaScript arbitraria en el navegador
Importante
CVE-2020-9737

AEM 6.5.5.0 y versiones anteriores

AEM 6.4.8.1 y versiones anteriores

AEM 6.3.3.8 y versiones anteriores

AEM 6.2 SP1-CFP20 y versiones anteriores

Secuencias de comandos en sitios cruzados (almacenadas)
Ejecución de JavaScript arbitraria en el navegador
Importante

CVE-2020-9738

AEM 6.5.5.0 y versiones anteriores

AEM 6.4.8.1 y versiones anteriores

AEM 6.3.3.8 y versiones anteriores

AEM 6.2 SP1-CFP20 y versiones anteriores

Secuencias de comandos en sitios cruzados (almacenadas)
Ejecución de JavaScript arbitraria en el navegador
Crítico
CVE-2020-9740

AEM 6.5.5.0 y versiones anteriores

AEM 6.4.8.1 y versiones anteriores

AEM 6.3.3.8 y versiones anteriores

AEM 6.2 SP1-CFP20 y versiones anteriores

Secuencias de comandos en sitios cruzados (almacenadas)
Ejecución de JavaScript arbitraria en el navegador
Crítico
CVE-2020-9741
AEM Forms SP5 y versiones anteriores
Secuencias de comandos en sitios cruzados (reflejadas)
Ejecución de JavaScript arbitraria en el navegador
Crítico
CVE-2020-9742

AEM 6.5.5.0 y versiones anteriores

AEM 6.4.8.1 y versiones anteriores

AEM 6.3.3.8 y versiones anteriores

Inyección HTML
Inyección HTML arbitraria en el navegador
Importante
CVE-2020-9743

AEM 6.5.5.0 y versiones anteriores

AEM 6.4.8.1 y versiones anteriores

AEM 6.3.3.8 y versiones anteriores

AEM 6.2 SP1-CFP20 y versiones anteriores

Actualizaciones de dependencias

Dependencia

Impacto de la vulnerabilidad

Versiones afectadas

Handlebars.js

Ejecución de JavaScript arbitraria en el navegador

AEM 6.5.5.0 y versiones anteriores

AEM 6.4.8.1 y versiones anteriores

AEM 6.3.3.8 y versiones anteriores

AEM 6.2 SP1-CFP20 y versiones anteriores

Lodash.js (eliminado de AEM)

Contaminación por prototipo

AEM 6.5.5.0 y versiones anteriores

AEM 6.4.8.1 y versiones anteriores

AEM 6.3.3.8 y versiones anteriores

AEM 6.2 SP1-CFP20 y versiones anteriores

Log4j

Deserialización de datos que no son de confianza

AEM 6.5.5.0 y versiones anteriores

AEM 6.4.8.1 y versiones anteriores

AEM 6.3.3.8 y versiones anteriores

AEM 6.2 SP1-CFP20 y versiones anteriores

Dom4j

Inyección XXE (entidad externa XML)

AEM 6.5.5.0 y versiones anteriores

AEM 6.4.8.1 y versiones anteriores

AEM 6.3.3.8 y versiones anteriores

AEM 6.2 SP1-CFP20 y versiones anteriores

Logotipo de Adobe

Inicia sesión en tu cuenta