ID do boletim
Atualizações de segurança disponíveis para o Adobe Experience Manager | APSB19-48
|
Data de publicação |
Prioridade |
---|---|---|
APSB19-48 |
15 de outubro de 2019 |
2 |
Resumo
A Adobe lançou atualizações de segurança para o Adobe Experience Manager (AEM). As atualizações solucionam várias vulnerabilidades nas versões 6.3, 6.4 e 6.5 do AEM. Uma exploração bem-sucedida poderia resultar em acesso não autorizado ao ambiente do AEM.
Versões do produto afetado
Produto |
Versão |
Plataforma |
---|---|---|
Adobe Experience Manager |
6.5 6.4 6.3 6.2 6.1 6.0 |
Todos |
Solução
A Adobe categoriza essas atualizações com as seguintes classificações de prioridade e recomenda que os usuários atualizem suas instalações para as versões mais recentes:
Produto |
Versão |
Plataforma |
Prioridade |
Disponibilidade |
---|---|---|---|---|
Adobe Experience Manager |
6.5 |
Todos |
2 |
|
6.4 |
Todos |
2 |
||
6.3 |
Todos |
2 |
Entre em contato com o Atendimento ao cliente da Adobe para obter assistência com as versões mais antigas AEM.
Detalhes da vulnerabilidade
Categoria da vulnerabilidade |
Impacto da vulnerabilidade |
Severidade |
Número CVE |
Versões afetadas | Pacote de download |
---|---|---|---|---|---|
Falsificação de solicitação entre sites | Divulgação de informações confidenciais | Importante | CVE-2019-8234
|
AEM 6.2 AEM 6.3 AEM 6.4 |
|
Script entre sites refletido | Divulgação de informações confidenciais
|
Moderado | CVE-2019-8078 | AEM 6.2 AEM 6.3 AEM 6.4 |
|
Script entre sites armazenado | Divulgação de informações confidenciais | Importante | CVE-2019-8079 | AEM 6.0 AEM 6.1 AEM 6.2 AEM 6.3 AEM 6.4 |
|
Script entre sites armazenado | Escalonamento de privilégio | Importante | CVE-2019-8080
|
AEM 6.3 AEM 6.4 |
|
Bypass de autenticação
|
Divulgação de informações confidenciais | Importante | CVE-2019-8081 | AEM 6.2 AEM 6.3 AEM 6.4 AEM 6.5 |
Pacote de correções cumulativo para 6.3 SP3 – AEM-6.3.3.6 |
Injeção de entidade externa XML | Divulgação de informações confidenciais
|
Importante | CVE-2019-8082 | AEM 6.2 AEM 6.3 AEM 6.4 |
|
Script entre sites | Divulgação de informações confidenciais
|
Moderado
|
CVE-2019-8083
|
AEM 6.3 AEM 6.4 AEM 6.5 |
Pacote de correções cumulativo para 6.3 SP3 – AEM-6.3.3.6 |
Script entre sites refletido | Divulgação de informações confidenciais
|
Moderado
|
CVE-2019-8084
|
AEM 6.2 AEM 6.3 AEM 6.4 AEM 6.5 |
Pacote de correções cumulativo para 6.3 SP3 – AEM-6.3.3.6 |
Script entre sites refletido
|
Divulgação de informações confidenciais
|
Moderado
|
CVE-2019-8085
|
AEM 6.2 AEM 6.3 AEM 6.4 AEM 6.5 |
Pacote de correções cumulativo para 6.3 SP3 – AEM-6.3.3.6 |
Injeção de entidade externa XML
|
Divulgação de informações confidenciais
|
Importante
|
CVE-2019-8086
|
AEM 6.2 AEM 6.3 AEM 6.4 AEM 6.5
|
Pacote de correções cumulativo para 6.3 SP3 – AEM-6.3.3.6 |
Injeção de entidade externa XML
|
Divulgação de informações confidenciais
|
Importante
|
CVE-2019-8087
|
AEM 6.2 AEM 6.3 AEM 6.4 AEM 6.5 |
Pacote de correções cumulativo para 6.3 SP3 – AEM-6.3.3.6 |
Injeção de código JavaScript
|
Execução de código arbitrário
|
Crítico
|
CVE-2019-8088*
|
AEM 6.2 AEM 6.3 AEM 6.4 AEM 6.5
|
Pacote de correções cumulativo para 6.3 SP3 – AEM-6.3.3.6 |
A execução de código JavaScript (CVE-2019-8088) afeta apenas a versão 6.2. A partir da versão 6.3, o mecanismo Rhino em sandbox é usado para executar o JavaScript, o que reduz o impacto do CVE-2019-8088 aos ataques cegos de SSRF (Server-Side Request Forgery) e de DoS (Denial-of-Service).
Observação: os pacotes listados na tabela acima são os pacotes de correção mínimos para lidar com a vulnerabilidade listada. Para as versões mais recentes, consulte os links das notas de versão mencionados acima.
Agradecimentos
A Adobe gostaria de agradecer às seguintes pessoas e organizações por relatar problemas relevantes e por trabalhar com a Adobe para ajudar a proteger nossos clientes:
Lorenzo Pirondini (Netcentric, da Cognizant Digital Business) (CVE-2019-8078, CVE-2019-8079, CVE-2019-8080, CVE-2019-8083, CVE-2019-8084, CVE-2019-8085)
Pankaj Upadhyay da T. Rowe Price Associates, Inc. (https://pankajupadhyay.in) (CVE-2019-8081)
Mikhail Egorov @0ang3el (CVE-2019-8086, CVE-2019-8087, CVE-2019-8088)
Revisões
15 de outubro de 2019: atualização do ID de CVE, de CVE-2019-8077 para CVE-2019-8234.
11 de março de 2020: Foi adicionada uma observação para esclarecer que a execução de código JavaScript (CVE-2019-8088) afeta apenas o AEM 6.2.