Adobe – sikkerhetsbulletin

Sikkerhetsoppdateringer tilgjengelig for Adobe Experience Manager | APSB20-56

Bulletin-ID

Dato publisert

Prioritet

APSB20-56 

tirsdag 8. september 2020 

2

Sammendrag

Adobe har utgitt oppdateringer for Adobe Experience Manager (AEM) og AEM Forms-tilleggspakken. Disse oppdateringene løser sårbarheter klassifisert som Kritisk og Viktig.Vellykket utnyttelse av disse sårbarhetene kan resultere i vilkårlig JavaScript-utførelse i nettleseren.


Berørte produktversjoner

Produkt Versjon Plattform
Adobe Experience Manager
6.5.5.0 og tidligere versjoner 
Alle
6.4.8.1 og tidligere versjoner 
Alle 
6.3.3.8 og tidligere versjoner 
Alle 
6.2 SP1-CFP20 og tidligere versjoner 
Alle 
AEM Forms-tillegg 
AEM Forms Service Pack 5 og tidligere versjoner 
Alle 

Løsning

Adobe kategoriserer disse oppdateringene med følgende prioritetsklassifiseringer og anbefaler at brukerne oppdaterer installasjonen til den nyeste versjonen:

Produkt

Versjon

Plattform

Prioritet

Tilgjengelighet

 

Adobe Experience Manager (AEM) 

6.5.6.0 

Alle

2

Produktmerknad for AEM 6.5 Service Pack   

6.4.8.2 

Alle

2

Produktmerknad for AEM 6.4 Cumulative Fix Pack  

AEM Forms-tillegg
AEM Forms Service Pack 6
Alle
2
Produktmerknader for AEM Forms 
Merk:

Adobe Experience Manager 6.5.6.0 er en viktig oppdatering som inkluderer nye funksjoner, viktige forbedringer fra kunder og ytelses-, stabilitets- og sikkerhetsforbedringer gitt ut siden den generelle tilgjengeligheten av 6.5-utgivelsen i april 2019.  Den kan installeres på toppen av Adobe Experience Manager 6.5.

Merk:

AEM Cumulative Fix Pack 6.4.8.2 er en viktig oppdatering som inkluderer flere interne og kundefiksinger siden den generelle tilgjengeligheten av AEM 6.4 Service Pack 8 (6.4.8.0) i mars 2020. AEM Cumulative Fix Pack 6.4.8.2 avhenger av AEM 6.4 Service Pack 8. Du må derfor installere AEM Cumulative Fix Pack 6.4.8.2-pakken etter å ha installert AEM 6.4 Service Pack 8.

Merk:

Kontakt Adobe customer care for assistanse med AEM-versjonene 6.3 og 6.2.

Informasjon om sikkerhetsproblemet

Sikkerhetsproblemkategori

Sikkerhetsprobleminnvirkning

Alvorlighetsgrad

CVE-nummer 

Berørte versjoner
Skripting på tvers av nettsteder (lagret)
Vilkårlig JavaScript-utførelse i nettleseren
Kritisk
CVE-2020-9732

AEM Forms SP5 og tidligere

Utførelse med unødvendige privilegier
Avsløring av sensitiv informasjon Viktig
CVE-2020-9733

AEM 6.5.5.0 og tidligere

AEM 6.4.8.1 og tidligere

Skripting på tvers av nettsteder (lagret)
Vilkårlig JavaScript-utførelse i nettleseren
Kritisk
CVE-2020-9734
AEM Forms SP5 og tidligere
Skripting på tvers av nettsteder (lagret)
Vilkårlig JavaScript-utførelse i nettleseren
Viktig
CVE-2020-9735

AAEM 6.5.5.0 og tidligere

AEM 6.4.8.1 og tidligere

AEM 6.3.3.8 og tidligere

AEM 6.2 SP1-CFP20 og tidligere

Skripting på tvers av nettsteder (lagret)
Vilkårlig JavaScript-utførelse i nettleseren
Viktig
CVE-2020-9736

AEM 6.5.5.0 og tidligere

AEM 6.4.8.1 og tidligere

AEM 6.3.3.8 og tidligere

AEM 6.2 SP1-CFP20 og tidligere

Skripting på tvers av nettsteder (lagret)
Vilkårlig JavaScript-utførelse i nettleseren
Viktig
CVE-2020-9737

AEM 6.5.5.0 og tidligere

AEM 6.4.8.1 og tidligere

AEM 6.3.3.8 og tidligere

AEM 6.2 SP1-CFP20 og tidligere

Skripting på tvers av nettsteder (lagret)
Vilkårlig JavaScript-utførelse i nettleseren
Viktig

CVE-2020-9738

AEM 6.5.5.0 og tidligere

AEM 6.4.8.1 og tidligere

AEM 6.3.3.8 og tidligere

AEM 6.2 SP1-CFP20 og tidligere

Skripting på tvers av nettsteder (lagret)
Vilkårlig JavaScript-utførelse i nettleseren
Kritisk
CVE-2020-9740

AEM 6.5.5.0 og tidligere

AEM 6.4.8.1 og tidligere

AEM 6.3.3.8 og tidligere

AEM 6.2 SP1-CFP20 og tidligere

Skripting på tvers av nettsteder (lagret)
Vilkårlig JavaScript-utførelse i nettleseren
Kritisk
CVE-2020-9741
AEM Forms SP5 og tidligere
Skripting på tvers av nettsteder (reflektert)
Vilkårlig JavaScript-utførelse i nettleseren
Kritisk
CVE-2020-9742

AEM 6.5.5.0 og tidligere

AEM 6.4.8.1 og tidligere

AEM 6.3.3.8 og tidligere

HTML-injeksjon
Vilkårlig HTML-injeksjon i nettleseren
Viktig
CVE-2020-9743

AEM 6.5.5.0 og tidligere

AEM 6.4.8.1 og tidligere

AEM 6.3.3.8 og tidligere

AEM 6.2 SP1-CFP20 og tidligere

Oppdateringer av avhengigheter

Avhengighet

Sikkerhetsprobleminnvirkning

Berørte versjoner

Handlebars.js

Vilkårlig JavaScript-utførelse i nettleseren

AEM 6.5.5.0 og tidligere

AEM 6.4.8.1 og tidligere

AEM 6.3.3.8 og tidligere

AEM 6.2 SP1-CFP20 og tidligere

Lodash.js (fjernet fra AEM)

Prototypeforurensning

AEM 6.5.5.0 og tidligere

AEM 6.4.8.1 og tidligere

AEM 6.3.3.8 og tidligere

AEM 6.2 SP1-CFP20 og tidligere

Log4j

Deserialisering av ikke-klarerte data

AEM 6.5.5.0 og tidligere

AEM 6.4.8.1 og tidligere

AEM 6.3.3.8 og tidligere

AEM 6.2 SP1-CFP20 og tidligere

Dom4j

XXE (Xml ekstern entitet)-injeksjon

AEM 6.5.5.0 og tidligere

AEM 6.4.8.1 og tidligere

AEM 6.3.3.8 og tidligere

AEM 6.2 SP1-CFP20 og tidligere

Adobe-logoen

Logg på kontoen din