Boletín de seguridad de Adobe

Actualizaciones de seguridad disponibles para Adobe Experience Manager | APSB20-72

ID del boletín

Fecha de publicación

Prioridad

APSB20-72

8 de diciembre de 2020 

2

Resumen

Adobe ha publicado actualizaciones para Adobe Experience Manager (AEM) y el paquete del complemento AEM Forms. Estas actualizaciones solucionan vulnerabilidades clasificadas como críticas e importantes.


Versión afectada del producto

Producto Versión Plataforma

 

 

Adobe Experience Manager (AEM)

AEM Cloud Service (CS)
Todas
6.5.6.0 y versiones anteriores
Todas
6.4.8.2 y versiones anteriores
Todas 
6.3.3.8 y versiones anteriores
Todas 
6.2 SP1-CFP20 y versiones anteriores 
Todas 
Complemento de AEM Forms 
Paquete del complemento AEM Forms Service Pack 6 para AEM 6.5.6.0 
Todas 
Paquete del complemento AEM Forms para AEM 6.4 Service Pack 8 Cumulative Fix Pack 2 (6.4.8.2)
Todas

Solución

Adobe categoriza estas actualizaciones de acuerdo con los siguientes niveles de prioridad y recomienda que los usuarios actualicen los programas a las versiones más recientes:

Producto

Versión

Plataforma

Prioridad

Disponibilidad

 

Adobe Experience Manager  (AEM) 

AEM Cloud Service (CS)
Todas 2 Notas de la versión

6.5.7.0 

Todas

2

Notas de la versión de AEM 6.5 Service Pack

6.4.8.3

Todas

2

Notas de la versión de AEM 6.4 Cumulative Fix Pack  

 

Complemento de AEM Forms

AEM Forms Service Pack 7
Todas
2
Versiones de AEM Forms 
AEM 6.4 Service Pack 8 CFP 3
Todas 2 Versiones de AEM Forms
Nota:

Los clientes que ejecuten en Cloud Service de Adobe Experience Manager recibirán actualizaciones automáticamente con nuevas funciones, así como correcciones de errores de seguridad y funcionalidad.  

Nota:

Adobe Experience Manager 6.5.7.0 es una actualización importante que incluye nuevas funciones, mejoras clave solicitadas por los clientes, y mejoras de rendimiento, estabilidad y seguridad implementadas desde la publicación de la versión 6.5 en abril de 2019.  Se puede instalar sobre Adobe Experience Manager 6.5.

Nota:

AEM Cumulative Fix Pack 6.4.8.3 es una actualización importante que incluye varias correcciones internas y de clientes desde la publicación de AEM 6.4 Service Pack 8 (6.4.8.0) en marzo de 2020. AEM Cumulative Fix Pack 6.4.8.3 depende de AEM 6.4 Service Pack 8. Por lo tanto, debe instalar el paquete AEM Cumulative Fix Pack 6.4.8.3 después de instalar AEM Service Pack 8.

Nota:

Póngase en contacto con el servicio de atención al cliente de Adobe para obtener ayuda relacionada con AEM 6.3 y 6.2.

Detalles sobre la vulnerabilidad

Categoría de vulnerabilidad

Impacto de la vulnerabilidad

Gravedad

Número CVE 

Versiones afectadas

Falsificación de solicitud del servidor ciega

Divulgación de información confidencial

Importante

CVE-2020-24444

Complemento AEM Forms SP6 para AEM 6.5.6.0 y versiones anteriores

Paquete del complemento AEM Forms para AEM 6.4 Service Pack 8 Cumulative Fix Pack 2 (6.4.8.2) y versiones anteriores

Ejecución de scripts en sitios cruzados (almacenados)

Ejecución de JavaScript arbitraria en el navegador

Crítico

CVE-2020-24445

AEM CS

AEM 6.5.6.0 y versiones anteriores

Actualizaciones de dependencias

Dependencia
Impacto de la vulnerabilidad
Versiones afectadas
Apache Abdera
Consumo de recursos

AEM CS

AEM 6.5.6.0 y versiones anteriores

AEM 6.4.8.2 y versiones anteriores

AEM 6.3.3.8 y versiones anteriores

Apache Batik
Falsificación de solicitud del servidor

AEM CS

AEM 6.5.6.0 y versiones anteriores

AEM 6.4.8.2 y versiones anteriores

AEM 6.3.3.8 y versiones anteriores

Compresión de Apache Commons
Consumo de recursos

AEM CS

AEM 6.5.6.0 y versiones anteriores

AEM 6.4.8.2 y versiones anteriores

AEM 6.3.3.8 y versiones anteriores

Apache OpenNLP
Inyección de entidad externa XML (XXE)

AEM CS

AEM 6.5.6.0 y versiones anteriores

AEM 6.4.8.2 y versiones anteriores

AEM 6.3.3.8 y versiones anteriores

Servicio Apache Sling Scheduler
Inyección de entidad externa XML (XXE)

AEM CS

AEM 6.5.6.0 y versiones anteriores

AEM 6.4.8.2 y versiones anteriores

AEM 6.3.3.8 y versiones anteriores

Apache Xerces2
Consumo de recursos

AEM CS

AEM 6.5.6.0 y versiones anteriores

AEM 6.4.8.2 y versiones anteriores

AEM 6.3.3.8 y versiones anteriores

CKEditor
Ejecución de JavaScript arbitraria en el navegador

AEM CS

AEM 6.5.6.0 y versiones anteriores

AEM 6.4.8.2 y versiones anteriores

AEM 6.3.3.8 y versiones anteriores

Eclipse Jetty
Consumo de recursos

AEM CS

AEM 6.5.6.0 y versiones anteriores

AEM 6.4.8.2 y versiones anteriores

AEM 6.3.3.8 y versiones anteriores

Google-oauth-client
Autorización incorrecta

AEM CS

AEM 6.5.6.0 y versiones anteriores

AEM 6.4.8.2 y versiones anteriores

AEM 6.3.3.8 y versiones anteriores

Handlebars.js
Contaminación por prototipo

AEM CS

AEM 6.5.6.0 y versiones anteriores

AEM 6.4.8.2 y versiones anteriores

AEM 6.3.3.8 y versiones anteriores

Jackson Mapper
Inyección de entidad externa XML (XXE)

AEM CS

AEM 6.5.6.0 y versiones anteriores

AEM 6.4.8.2 y versiones anteriores

AEM 6.3.3.8 y versiones anteriores

jQuery
Ejecución de JavaScript arbitraria en el navegador

AEM CS

AEM 6.5.6.0 y versiones anteriores

AEM 6.4.8.2 y versiones anteriores

AEM 6.3.3.8 y versiones anteriores

Spring Framework
Directory traversal

AEM CS

AEM 6.5.6.0 y versiones anteriores

AEM 6.4.8.2 y versiones anteriores

AEM 6.3.3.8 y versiones anteriores

Zip4j
Directory traversal

AEM CS

AEM 6.5.6.0 y versiones anteriores

AEM 6.4.8.2 y versiones anteriores

AEM 6.3.3.8 y versiones anteriores

Reconocimientos

Adobe desea agradecer a Frank Karlstrøm y Kenny Jansson de Storebrand Group, Noruega (CVE-2020-24444) por colaborar con nosotros para ayudarnos a proteger a nuestros clientes.

Revisiones

13 de enero de 2021: Eliminado AEM 6.4.8.2 y 6.3.3.8 de la lista de versiones afectadas por CVE-2020-24445.  

 Adobe

Obtén ayuda de forma más rápida y sencilla

¿Nuevo usuario?