Boletim de segurança da Adobe

Atualizações de segurança disponíveis para o Adobe Experience Manager | APSB19-48

ID do boletim

Data de publicação

Prioridade

APSB19-48

15 de outubro de 2019

2

Resumo

A Adobe lançou atualizações de segurança para o Adobe Experience Manager (AEM). As atualizações solucionam várias vulnerabilidades nas versões 6.3, 6.4 e 6.5 do AEM. Uma exploração bem-sucedida poderia resultar em acesso não autorizado ao ambiente do AEM.

Versões do produto afetado

Produto

Versão

Plataforma

Adobe Experience Manager

6.5

6.4

6.3

6.2

6.1

6.0

Todos

Solução

A Adobe categoriza essas atualizações com as seguintes classificações de prioridade e recomenda que os usuários atualizem suas instalações para as versões mais recentes:

Produto

Versão

Plataforma

Prioridade

Disponibilidade

 

Adobe Experience Manager

6.5

Todos

2

Versões e atualizações

6.4

Todos

2

Versões e atualizações

6.3

Todos

2

Versões e atualizações

Entre em contato com o Atendimento ao cliente da Adobe para obter assistência com as versões mais antigas AEM.

Detalhes da vulnerabilidade

Categoria da vulnerabilidade

Impacto da vulnerabilidade

Severidade

Número CVE 

Versões afetadas Pacote de download
Falsificação de solicitação entre sites Divulgação de informações confidenciais Importante

CVE-2019-8234

 

AEM 6.2

AEM 6.3

AEM 6.4

Pacote de correções cumulativo para 6.3 SP3 – AEM-6.3.3.6

Pacote de serviços para 6.4 - AEM-6.4.6.0

Script entre sites refletido

Divulgação de informações confidenciais

 

Moderado CVE-2019-8078

AEM 6.2

AEM 6.3

AEM 6.4

Pacote de correções cumulativo para 6.3 SP3 – AEM-6.3.3.6

Pacote de serviços para 6.4 - AEM-6.4.6.0

Script entre sites armazenado Divulgação de informações confidenciais Importante CVE-2019-8079

AEM 6.0

AEM 6.1

AEM 6.2

AEM 6.3 

AEM 6.4

Pacote de correções cumulativo para 6.3 SP3 – AEM-6.3.3.6

Pacote de serviços para 6.4 - AEM-6.4.4.0

Script entre sites armazenado Escalonamento de privilégio Importante 

CVE-2019-8080

 

AEM 6.3

AEM 6.4

Pacote de correções cumulativo para 6.3 SP3 – AEM-6.3.3.6

Pacote de serviços para 6.4 - AEM-6.4.6.0

Bypass de autenticação

 

 

Divulgação de informações confidenciais Importante CVE-2019-8081

AEM 6.2

AEM 6.3

AEM 6.4

AEM 6.5 

Pacote de correções cumulativo para 6.3 SP3 – AEM-6.3.3.6

Pacote de serviços para 6.4 - AEM-6.4.6.0

Pacote de serviços para 6.5 - AEM-6.5.2.0 

Injeção de entidade externa XML

Divulgação de informações confidenciais

 

Importante CVE-2019-8082

AEM 6.2

AEM 6.3 

AEM 6.4

Pacote de correções cumulativo para 6.3 SP3 – AEM-6.3.3.6

Pacote de serviços para 6.4 - AEM-6.4.6.0

Script entre sites

Divulgação de informações confidenciais

 

Moderado

 

CVE-2019-8083

 

AEM 6.3

AEM 6.4

AEM 6.5

Pacote de correções cumulativo para 6.3 SP3 – AEM-6.3.3.6

Pacote de serviços para 6.4 - AEM-6.4.6.0

Pacote de serviços para 6.5 - AEM-6.5.2.0 

Script entre sites refletido

Divulgação de informações confidenciais

 

 

Moderado

 

 

 

 

CVE-2019-8084

 

 

AEM 6.2

AEM 6.3

AEM 6.4 

AEM 6.5

Pacote de correções cumulativo para 6.3 SP3 – AEM-6.3.3.6

Pacote de serviços para 6.4 - AEM-6.4.5.0

Pacote de serviços para 6.5 - AEM-6.5.2.0 

Script entre sites refletido

 

 

Divulgação de informações confidenciais

 

 

Moderado

 

 

 

 

CVE-2019-8085

 

 

AEM 6.2

AEM 6.3

AEM 6.4 

AEM 6.5

Pacote de correções cumulativo para 6.3 SP3 – AEM-6.3.3.6

Pacote de serviços para 6.4 - AEM-6.4.5.0

Pacote de serviços para 6.5 - AEM-6.5.2.0 

Injeção de entidade externa XML

 

 

Divulgação de informações confidenciais

 

 

Importante

 

 

CVE-2019-8086

 

 

AEM 6.2

AEM 6.3 

AEM 6.4

AEM 6.5

 

Pacote de correções cumulativo para 6.3 SP3 – AEM-6.3.3.6

Pacote de serviços para 6.4 - AEM-6.4.6.0

Pacote de serviços para 6.5 - AEM-6.5.2.0 

Injeção de entidade externa XML

 

 

Divulgação de informações confidenciais

 

Importante

 

 

CVE-2019-8087

 

 

AEM 6.2

AEM 6.3 

AEM 6.4

AEM 6.5

Pacote de correções cumulativo para 6.3 SP3 – AEM-6.3.3.6

Pacote de serviços para 6.4 - AEM-6.4.6.0

Pacote de serviços para 6.5 - AEM-6.5.2.0 

Injeção de código JavaScript

 

 

Execução de código arbitrário

 

 

Crítico

 

 

CVE-2019-8088*

 

 

AEM 6.2

AEM 6.3

AEM 6.4

AEM 6.5

 

Pacote de correções cumulativo para 6.3 SP3 – AEM-6.3.3.6

Pacote de serviços para 6.4 - AEM-6.4.6.0

Pacote de serviços para 6.5 - AEM-6.5.2.0 

Observação:

A execução de código JavaScript (CVE-2019-8088) afeta apenas a versão 6.2.  A partir da versão 6.3, o mecanismo Rhino em sandbox é usado para executar o JavaScript, o que reduz o impacto do CVE-2019-8088 aos ataques cegos de SSRF (Server-Side Request Forgery) e de DoS (Denial-of-Service). 

Observação:

Observação: os pacotes listados na tabela acima são os pacotes de correção mínimos para lidar com a vulnerabilidade listada.  Para as versões mais recentes, consulte os links das notas de versão mencionados acima.

Agradecimentos

A Adobe gostaria de agradecer às seguintes pessoas e organizações por relatar problemas relevantes e por trabalhar com a Adobe para ajudar a proteger nossos clientes:     

  • Mikhail Egorov @0ang3el (CVE-2019-8086, CVE-2019-8087, CVE-2019-8088)

Revisões

15 de outubro de 2019: atualização do ID de CVE, de CVE-2019-8077 para CVE-2019-8234.

11 de março de 2020: Foi adicionada uma observação para esclarecer que a execução de código JavaScript (CVE-2019-8088) afeta apenas o AEM 6.2.  

 Adobe

Receba ajuda com mais rapidez e facilidade

Novo usuário?