ID del boletín
Actualizaciones de seguridad disponibles para Adobe Experience Manager | APSB20-72
|
Fecha de publicación |
Prioridad |
---|---|---|
APSB20-72 |
8 de diciembre de 2020 |
2 |
Resumen
Adobe ha publicado actualizaciones para Adobe Experience Manager (AEM) y el paquete del complemento AEM Forms. Estas actualizaciones solucionan vulnerabilidades clasificadas como críticas e importantes.
Versión afectada del producto
Producto | Versión | Plataforma |
---|---|---|
Adobe Experience Manager (AEM) |
AEM Cloud Service (CS) |
Todas |
6.5.6.0 y versiones anteriores |
Todas |
|
6.4.8.2 y versiones anteriores |
Todas |
|
6.3.3.8 y versiones anteriores |
Todas |
|
6.2 SP1-CFP20 y versiones anteriores |
Todas |
|
Complemento de AEM Forms |
Paquete del complemento AEM Forms Service Pack 6 para AEM 6.5.6.0 |
Todas |
Paquete del complemento AEM Forms para AEM 6.4 Service Pack 8 Cumulative Fix Pack 2 (6.4.8.2) |
Todas |
Solución
Adobe categoriza estas actualizaciones de acuerdo con los siguientes niveles de prioridad y recomienda que los usuarios actualicen los programas a las versiones más recientes:
Producto |
Versión |
Plataforma |
Prioridad |
Disponibilidad |
---|---|---|---|---|
Adobe Experience Manager (AEM) |
AEM Cloud Service (CS) |
Todas | 2 | Notas de la versión |
6.5.7.0 |
Todas |
2 |
Notas de la versión de AEM 6.5 Service Pack |
|
6.4.8.3 |
Todas |
2 |
||
Complemento de AEM Forms |
AEM Forms Service Pack 7 |
Todas |
2 |
Versiones de AEM Forms |
AEM 6.4 Service Pack 8 CFP 3 |
Todas | 2 | Versiones de AEM Forms |
Los clientes que ejecuten en Cloud Service de Adobe Experience Manager recibirán actualizaciones automáticamente con nuevas funciones, así como correcciones de errores de seguridad y funcionalidad.
Adobe Experience Manager 6.5.7.0 es una actualización importante que incluye nuevas funciones, mejoras clave solicitadas por los clientes, y mejoras de rendimiento, estabilidad y seguridad implementadas desde la publicación de la versión 6.5 en abril de 2019. Se puede instalar sobre Adobe Experience Manager 6.5.
AEM Cumulative Fix Pack 6.4.8.3 es una actualización importante que incluye varias correcciones internas y de clientes desde la publicación de AEM 6.4 Service Pack 8 (6.4.8.0) en marzo de 2020. AEM Cumulative Fix Pack 6.4.8.3 depende de AEM 6.4 Service Pack 8. Por lo tanto, debe instalar el paquete AEM Cumulative Fix Pack 6.4.8.3 después de instalar AEM Service Pack 8.
Póngase en contacto con el servicio de atención al cliente de Adobe para obtener ayuda relacionada con AEM 6.3 y 6.2.
Detalles sobre la vulnerabilidad
Categoría de vulnerabilidad |
Impacto de la vulnerabilidad |
Gravedad |
Número CVE |
Versiones afectadas |
---|---|---|---|---|
Falsificación de solicitud del servidor ciega |
Divulgación de información confidencial |
Importante |
CVE-2020-24444 |
Complemento AEM Forms SP6 para AEM 6.5.6.0 y versiones anteriores Paquete del complemento AEM Forms para AEM 6.4 Service Pack 8 Cumulative Fix Pack 2 (6.4.8.2) y versiones anteriores |
Ejecución de scripts en sitios cruzados (almacenados) |
Ejecución de JavaScript arbitraria en el navegador |
Crítico |
CVE-2020-24445 |
AEM CS AEM 6.5.6.0 y versiones anteriores |
Actualizaciones de dependencias
Dependencia |
Impacto de la vulnerabilidad |
Versiones afectadas |
Apache Abdera |
Consumo de recursos |
AEM CS AEM 6.5.6.0 y versiones anteriores AEM 6.4.8.2 y versiones anteriores AEM 6.3.3.8 y versiones anteriores |
Apache Batik |
Falsificación de solicitud del servidor |
AEM CS AEM 6.5.6.0 y versiones anteriores AEM 6.4.8.2 y versiones anteriores AEM 6.3.3.8 y versiones anteriores |
Compresión de Apache Commons |
Consumo de recursos |
AEM CS AEM 6.5.6.0 y versiones anteriores AEM 6.4.8.2 y versiones anteriores AEM 6.3.3.8 y versiones anteriores |
Apache OpenNLP |
Inyección de entidad externa XML (XXE) |
AEM CS AEM 6.5.6.0 y versiones anteriores AEM 6.4.8.2 y versiones anteriores AEM 6.3.3.8 y versiones anteriores |
Servicio Apache Sling Scheduler |
Inyección de entidad externa XML (XXE) |
AEM CS AEM 6.5.6.0 y versiones anteriores AEM 6.4.8.2 y versiones anteriores AEM 6.3.3.8 y versiones anteriores |
Apache Xerces2 |
Consumo de recursos |
AEM CS AEM 6.5.6.0 y versiones anteriores AEM 6.4.8.2 y versiones anteriores AEM 6.3.3.8 y versiones anteriores |
CKEditor |
Ejecución de JavaScript arbitraria en el navegador |
AEM CS AEM 6.5.6.0 y versiones anteriores AEM 6.4.8.2 y versiones anteriores AEM 6.3.3.8 y versiones anteriores |
Eclipse Jetty |
Consumo de recursos |
AEM CS AEM 6.5.6.0 y versiones anteriores AEM 6.4.8.2 y versiones anteriores AEM 6.3.3.8 y versiones anteriores |
Google-oauth-client |
Autorización incorrecta |
AEM CS AEM 6.5.6.0 y versiones anteriores AEM 6.4.8.2 y versiones anteriores AEM 6.3.3.8 y versiones anteriores |
Handlebars.js |
Contaminación por prototipo |
AEM CS AEM 6.5.6.0 y versiones anteriores AEM 6.4.8.2 y versiones anteriores AEM 6.3.3.8 y versiones anteriores |
Jackson Mapper |
Inyección de entidad externa XML (XXE) |
AEM CS AEM 6.5.6.0 y versiones anteriores AEM 6.4.8.2 y versiones anteriores AEM 6.3.3.8 y versiones anteriores |
jQuery |
Ejecución de JavaScript arbitraria en el navegador |
AEM CS AEM 6.5.6.0 y versiones anteriores AEM 6.4.8.2 y versiones anteriores AEM 6.3.3.8 y versiones anteriores |
Spring Framework |
Directory traversal |
AEM CS AEM 6.5.6.0 y versiones anteriores AEM 6.4.8.2 y versiones anteriores AEM 6.3.3.8 y versiones anteriores |
Zip4j |
Directory traversal |
AEM CS AEM 6.5.6.0 y versiones anteriores AEM 6.4.8.2 y versiones anteriores AEM 6.3.3.8 y versiones anteriores |
Reconocimientos
Adobe desea agradecer a Frank Karlstrøm y Kenny Jansson de Storebrand Group, Noruega (CVE-2020-24444) por colaborar con nosotros para ayudarnos a proteger a nuestros clientes.
Revisiones
13 de enero de 2021: Eliminado AEM 6.4.8.2 y 6.3.3.8 de la lista de versiones afectadas por CVE-2020-24445.