Boletim de segurança da Adobe

Atualizações de segurança disponíveis para o Adobe Experience Manager | APSB20-72

ID do boletim

Data de publicação

Prioridade

APSB20-72

8 de dezembro de 2020 

2

Resumo

A Adobe lançou atualizações para o Adobe Experience Manager (AEM) e para o pacote de complementos AEM Forms. Essas atualizações resolvem vulnerabilidades de classificação Crítica e Importante.


Versões do produto afetado

Produto Versão Plataforma

 

 

Adobe Experience Manager (AEM)

AEM Cloud Service (CS)
Todos
6.5.6.0 e versões anteriores
Todos
6.4.8.2 e versões anteriores
Todos 
6.3.3.8 e versões anteriores
Todos 
6.2 SP1-CFP20 e versões anteriores 
Todos 
Complemento AEM Forms 
Pacote suplementar do AEM Forms Service Pack 6 para AEM 6.5.6.0
Todos 
Pacote complementar do AEM Forms para AEM 6.4 Service Pack 8 Cumulative Fix Pack 2 (6.4.8.2)
Todos

Solução

A Adobe categoriza essas atualizações com as seguintes classificações de prioridade e recomenda que os usuários atualizem suas instalações para as versões mais recentes:

Produto

Versão

Plataforma

Prioridade

Disponibilidade

 

Adobe Experience Manager (AEM) 

AEM Cloud Service (CS)
Todos 2 Notas de versão

6.5.7.0 

Todos

2

Notas de versão do AEM 6.5 Service Pack   

6.4.8.3

Todos

2

Notas de versão do AEM 6.4 Cumulative Fix Pack  

 

Complemento AEM Forms

AEM Forms Service Pack 7
Todos
2
Versões do AEM Forms 
AEM 6.4 Service Pack 8 CFP 3
Todos 2 Versões do AEM Forms
Observação:

Os clientes que executam o Cloud Service da Adobe Experience Manager receberão automaticamente atualizações que incluem novos recursos, bem como correções de erros de segurança e funcionalidade.  

Observação:

A versão 6.5.7.0 do Adobe Experience Manager é uma atualização importante da versão 6.5, disponibilizada em abril de 2019. Ela inclui novos recursos, aprimoramentos essenciais solicitados pelo cliente e melhorias de desempenho, estabilidade e segurança.  Ela pode ser instalada no Adobe Experience Manager 6.5.

Observação:

O AEM Cumulative Fix Pack 6.4.8.3 é uma atualização importante que inclui várias correções internas e de clientes desde a disponibilização do AEM 6.4 Service Pack 8 (6.4.8.0) em março de 2020. O AEM Cumulative Fix Pack 6.4.8.3 depende do AEM 6.4 Service Pack 8. Portanto, você deve instalar o pacote AEM Cumulative Fix Pack 6.4.8.3 depois de instalar o AEM 6.4 Service Pack 8.

Observação:

Entre em contato com o Atendimento ao cliente da Adobe para obter assistência com as versões 6.3 e 6.2 do AEM.

Detalhes da vulnerabilidade

Categoria da vulnerabilidade

Impacto da vulnerabilidade

Severidade

Número CVE 

Versões afetadas

Falsificação cega de solicitação do lado do servidor

Divulgação de informações confidenciais

Importante

CVE-2020-24444

Complemento do AEM Forms SP6 para AEM 6.5.6.0 e anteriores

Pacote complementar do AEM Forms para AEM 6.4 Service Pack 8 Cumulative Fix Pack 2 (6.4.8.2) e anteriores

Criação de script entre sites (armazenado)

Execução arbitrária de JavaScript no navegador

Crítico

CVE-2020-24445

AEM CS

AEM 6.5.6.0 e anteriores

Atualizações das dependências

Dependência
Impacto da vulnerabilidade
Versões afetadas
Apache Abdera
Consumo de recursos

AEM CS

AEM 6.5.6.0 e anteriores

AEM 6.4.8.2 e anteriores

AEM 6.3.3.8 e anteriores

Apache Batik
Falsificação de solicitação do lado do servidor

AEM CS

AEM 6.5.6.0 e anteriores

AEM 6.4.8.2 e anteriores

AEM 6.3.3.8 e anteriores

Apache Commons Compress
Consumo de recursos

AEM CS

AEM 6.5.6.0 e anteriores

AEM 6.4.8.2 e anteriores

AEM 6.3.3.8 e anteriores

Apache OpenNLP
Injeção de entidade externa de XML (XXE)

AEM CS

AEM 6.5.6.0 e anteriores

AEM 6.4.8.2 e anteriores

AEM 6.3.3.8 e anteriores

Apache Sling Scheduler Service
Injeção de entidade externa de XML (XXE)

AEM CS

AEM 6.5.6.0 e anteriores

AEM 6.4.8.2 e anteriores

AEM 6.3.3.8 e anteriores

Apache Xerces2
Consumo de recursos

AEM CS

AEM 6.5.6.0 e anteriores

AEM 6.4.8.2 e anteriores

AEM 6.3.3.8 e anteriores

CKEditor
Execução arbitrária de JavaScript no navegador

AEM CS

AEM 6.5.6.0 e anteriores

AEM 6.4.8.2 e anteriores

AEM 6.3.3.8 e anteriores

Eclipse Jetty
Consumo de recursos

AEM CS

AEM 6.5.6.0 e anteriores

AEM 6.4.8.2 e anteriores

AEM 6.3.3.8 e anteriores

Google-oauth-client
Autorização imprópria

AEM CS

AEM 6.5.6.0 e anteriores

AEM 6.4.8.2 e anteriores

AEM 6.3.3.8 e anteriores

Handlebars.js
Poluição de protótipo

AEM CS

AEM 6.5.6.0 e anteriores

AEM 6.4.8.2 e anteriores

AEM 6.3.3.8 e anteriores

Jackson Mapper
Injeção de entidade externa de XML (XXE)

AEM CS

AEM 6.5.6.0 e anteriores

AEM 6.4.8.2 e anteriores

AEM 6.3.3.8 e anteriores

jQuery
Execução arbitrária de JavaScript no navegador

AEM CS

AEM 6.5.6.0 e anteriores

AEM 6.4.8.2 e anteriores

AEM 6.3.3.8 e anteriores

Spring Framework
Travessia de diretório

AEM CS

AEM 6.5.6.0 e anteriores

AEM 6.4.8.2 e anteriores

AEM 6.3.3.8 e anteriores

Zip4j
Travessia de diretório

AEM CS

AEM 6.5.6.0 e anteriores

AEM 6.4.8.2 e anteriores

AEM 6.3.3.8 e anteriores

Agradecimentos

Adobe gostaria de agradecer a Frank Karlstrøm e Kenny Jansson do Storebrand Group, Noruega (CVE-2020-2444) por trabalhar com a Adobe para ajudar a proteger nossos clientes.

Revisões

13 de janeiro de 2021: AEM 6.4.8.2 e 6.3.3.8 removidos da lista de versões afetadas pelo CVE-2020-24445.  

 Adobe

Receba ajuda com mais rapidez e facilidade

Novo usuário?

Adobe MAX 2024

Adobe MAX:
a conferência da criatividade

14 a 16 de outubro, Miami Beach e online

Adobe MAX

A conferência da criatividade

14 a 16 de outubro, Miami Beach e online

Adobe MAX 2024

Adobe MAX:
a conferência da criatividade

14 a 16 de outubro, Miami Beach e online

Adobe MAX

A conferência da criatividade

14 a 16 de outubro, Miami Beach e online