Bulletin-id
Beveiligingsupdates beschikbaar voor Adobe Experience Manager | APSB19-48
|
Publicatiedatum |
Prioriteit |
---|---|---|
APSB19-48 |
15 oktober 2019 |
2 |
Samenvatting
Adobe heeft beveiligingsupdates uitgebracht voor Adobe Experience Manager (AEM). Deze updates lossen meerdere kwetsbaarheden op in AEM-versies 6.3, 6.4 en 6.5. Misbruik hiervan zou kunnen leiden tot ongeoorloofde toegang tot de AEM-omgeving.
Van toepassing op de volgende productversies
Product |
Versie |
Platform |
---|---|---|
Adobe Experience Manager |
6.5 6.4 6.3 6.2 6.1 6.0 |
Alles |
Oplossing
Adobe heeft aan deze updates de volgende prioriteit toegekend en raadt gebruikers aan hun installatie bij te werken naar de recentste versies:
Product |
Versie |
Platform |
Prioriteit |
Beschikbaarheid |
---|---|---|---|---|
Adobe Experience Manager |
6.5 |
Alles |
2 |
|
6.4 |
Alles |
2 |
||
6.3 |
Alles |
2 |
Neem contact op met de klantenservice van Adobe voor hulp bij eerdere AEM-versies.
Details van kwetsbaarheid
Categorie van kwetsbaarheid |
Impact van kwetsbaarheid |
Ernst |
CVE-nummer |
Van toepassing op de volgende versies | Downloadpakket |
---|---|---|---|---|---|
Aanvraagvervalsing op meerdere sites | Openbaarmaking van gevoelige informatie | Belangrijk | CVE-2019-8234
|
AEM 6.2 AEM 6.3 AEM 6.4 |
|
Weerspiegelde Cross-site scripting | Openbaarmaking van gevoelige informatie
|
Matig | CVE-2019-8078 | AEM 6.2 AEM 6.3 AEM 6.4 |
|
Opgeslagen Cross-site scripting | Openbaarmaking van gevoelige informatie | Belangrijk | CVE-2019-8079 | AEM 6.0 AEM 6.1 AEM 6.2 AEM 6.3 AEM 6.4 |
|
Opgeslagen Cross-site scripting | Bevoegdhedenescalatie | Belangrijk | CVE-2019-8080
|
AEM 6.3 AEM 6.4 |
|
Omzeilen van de verificatie
|
Openbaarmaking van gevoelige informatie | Belangrijk | CVE-2019-8081 | AEM 6.2 AEM 6.3 AEM 6.4 AEM 6.5 |
Cumulatief reparatiepakket voor 6.3 SP3 – AEM-6.3.3.6 |
Externe XML-entiteitinjectie | Openbaarmaking van gevoelige informatie
|
Belangrijk | CVE-2019-8082 | AEM 6.2 AEM 6.3 AEM 6.4 |
|
Cross-site scripting | Openbaarmaking van gevoelige informatie
|
Matig
|
CVE-2019-8083
|
AEM 6.3 AEM 6.4 AEM 6.5 |
Cumulatief reparatiepakket voor 6.3 SP3 – AEM-6.3.3.6 |
Weerspiegelde Cross-site scripting | Openbaarmaking van gevoelige informatie
|
Matig
|
CVE-2019-8084
|
AEM 6.2 AEM 6.3 AEM 6.4 AEM 6.5 |
Cumulatief reparatiepakket voor 6.3 SP3 – AEM-6.3.3.6 |
Weerspiegelde Cross-site scripting
|
Openbaarmaking van gevoelige informatie
|
Matig
|
CVE-2019-8085
|
AEM 6.2 AEM 6.3 AEM 6.4 AEM 6.5 |
Cumulatief reparatiepakket voor 6.3 SP3 – AEM-6.3.3.6 |
Externe XML-entiteitinjectie
|
Openbaarmaking van gevoelige informatie
|
Belangrijk
|
CVE-2019-8086
|
AEM 6.2 AEM 6.3 AEM 6.4 AEM 6.5
|
Cumulatief reparatiepakket voor 6.3 SP3 – AEM-6.3.3.6 |
Externe XML-entiteitinjectie
|
Openbaarmaking van gevoelige informatie
|
Belangrijk
|
CVE-2019-8087
|
AEM 6.2 AEM 6.3 AEM 6.4 AEM 6.5 |
Cumulatief reparatiepakket voor 6.3 SP3 – AEM-6.3.3.6 |
JavaScript-code-uitvoering
|
Willekeurige code-uitvoering
|
Kritiek
|
CVE-2019-8088*
|
AEM 6.2 AEM 6.3 AEM 6.4 AEM 6.5
|
Cumulatief reparatiepakket voor 6.3 SP3 – AEM-6.3.3.6 |
JavaScript-code-uitvoering (CVE-2019-8088) is alleen van invloed op versie 6.2. Vanaf 6.3 wordt de strikt in een sandbox geplaatste Rhino-engine gebruikt om JavaScript uit te voeren, waardoor de impact van CVE-2019-8088 op SSRF- en DoS-aanvallen (respectievelijk blinde aanvraagvervalsing op de server en Denial of Service).
Opmerking: de pakketten in de bovenstaande tabel zijn de minimale reparatiepakketten om de betreffende fouten aan te pakken. Raadpleeg voor de nieuwste versie de hierboven genoemde koppelingen naar opmerkingen bij de release.
Dankbetuigingen
Adobe bedankt de volgende personen en organisaties voor het melden van de relevante problemen en voor hun samenwerking met Adobe om onze klanten te helpen beschermen:
Lorenzo Pirondini (Netcentric, a Cognizant Digital Business) (CVE-2019-8078, CVE-2019-8079, CVE-2019-8080, CVE-2019-8083, CVE-2019-8084, CVE-2019-8085)
Pankaj Upadhyay van T. Rowe Price Associates, Inc. (https://pankajupadhyay.in) (CVE-2019-8081)
Mikhail Egorov @0ang3el (CVE-2019-8086, CVE-2019-8087, CVE-2019-8088)
Revisies
15 oktober 2019: CVE-id bijgewerkt van CVE-2019-8077 tot CVE-2019-8234.
11 maart 2020: opmerking toegevoegd om te verduidelijken dat de JavaScript-code-uitvoering (CVE-2019-8088) alleen impact heeft op AEM 6.2.