ID do boletim
Atualizações de segurança disponíveis para o Adobe Experience Manager | APSB20-72
|
Data de publicação |
Prioridade |
---|---|---|
APSB20-72 |
8 de dezembro de 2020 |
2 |
Resumo
A Adobe lançou atualizações para o Adobe Experience Manager (AEM) e para o pacote de complementos AEM Forms. Essas atualizações resolvem vulnerabilidades de classificação Crítica e Importante.
Versões do produto afetado
Produto | Versão | Plataforma |
---|---|---|
Adobe Experience Manager (AEM) |
AEM Cloud Service (CS) |
Todos |
6.5.6.0 e versões anteriores |
Todos |
|
6.4.8.2 e versões anteriores |
Todos |
|
6.3.3.8 e versões anteriores |
Todos |
|
6.2 SP1-CFP20 e versões anteriores |
Todos |
|
Complemento AEM Forms |
Pacote suplementar do AEM Forms Service Pack 6 para AEM 6.5.6.0 |
Todos |
Pacote complementar do AEM Forms para AEM 6.4 Service Pack 8 Cumulative Fix Pack 2 (6.4.8.2) |
Todos |
Solução
A Adobe categoriza essas atualizações com as seguintes classificações de prioridade e recomenda que os usuários atualizem suas instalações para as versões mais recentes:
Produto |
Versão |
Plataforma |
Prioridade |
Disponibilidade |
---|---|---|---|---|
Adobe Experience Manager (AEM) |
AEM Cloud Service (CS) |
Todos | 2 | Notas de versão |
6.5.7.0 |
Todos |
2 |
Notas de versão do AEM 6.5 Service Pack |
|
6.4.8.3 |
Todos |
2 |
||
Complemento AEM Forms |
AEM Forms Service Pack 7 |
Todos |
2 |
Versões do AEM Forms |
AEM 6.4 Service Pack 8 CFP 3 |
Todos | 2 | Versões do AEM Forms |
Os clientes que executam o Cloud Service da Adobe Experience Manager receberão automaticamente atualizações que incluem novos recursos, bem como correções de erros de segurança e funcionalidade.
A versão 6.5.7.0 do Adobe Experience Manager é uma atualização importante da versão 6.5, disponibilizada em abril de 2019. Ela inclui novos recursos, aprimoramentos essenciais solicitados pelo cliente e melhorias de desempenho, estabilidade e segurança. Ela pode ser instalada no Adobe Experience Manager 6.5.
O AEM Cumulative Fix Pack 6.4.8.3 é uma atualização importante que inclui várias correções internas e de clientes desde a disponibilização do AEM 6.4 Service Pack 8 (6.4.8.0) em março de 2020. O AEM Cumulative Fix Pack 6.4.8.3 depende do AEM 6.4 Service Pack 8. Portanto, você deve instalar o pacote AEM Cumulative Fix Pack 6.4.8.3 depois de instalar o AEM 6.4 Service Pack 8.
Entre em contato com o Atendimento ao cliente da Adobe para obter assistência com as versões 6.3 e 6.2 do AEM.
Detalhes da vulnerabilidade
Categoria da vulnerabilidade |
Impacto da vulnerabilidade |
Severidade |
Número CVE |
Versões afetadas |
---|---|---|---|---|
Falsificação cega de solicitação do lado do servidor |
Divulgação de informações confidenciais |
Importante |
CVE-2020-24444 |
Complemento do AEM Forms SP6 para AEM 6.5.6.0 e anteriores Pacote complementar do AEM Forms para AEM 6.4 Service Pack 8 Cumulative Fix Pack 2 (6.4.8.2) e anteriores |
Criação de script entre sites (armazenado) |
Execução arbitrária de JavaScript no navegador |
Crítico |
CVE-2020-24445 |
AEM CS AEM 6.5.6.0 e anteriores |
Atualizações das dependências
Dependência |
Impacto da vulnerabilidade |
Versões afetadas |
Apache Abdera |
Consumo de recursos |
AEM CS AEM 6.5.6.0 e anteriores AEM 6.4.8.2 e anteriores AEM 6.3.3.8 e anteriores |
Apache Batik |
Falsificação de solicitação do lado do servidor |
AEM CS AEM 6.5.6.0 e anteriores AEM 6.4.8.2 e anteriores AEM 6.3.3.8 e anteriores |
Apache Commons Compress |
Consumo de recursos |
AEM CS AEM 6.5.6.0 e anteriores AEM 6.4.8.2 e anteriores AEM 6.3.3.8 e anteriores |
Apache OpenNLP |
Injeção de entidade externa de XML (XXE) |
AEM CS AEM 6.5.6.0 e anteriores AEM 6.4.8.2 e anteriores AEM 6.3.3.8 e anteriores |
Apache Sling Scheduler Service |
Injeção de entidade externa de XML (XXE) |
AEM CS AEM 6.5.6.0 e anteriores AEM 6.4.8.2 e anteriores AEM 6.3.3.8 e anteriores |
Apache Xerces2 |
Consumo de recursos |
AEM CS AEM 6.5.6.0 e anteriores AEM 6.4.8.2 e anteriores AEM 6.3.3.8 e anteriores |
CKEditor |
Execução arbitrária de JavaScript no navegador |
AEM CS AEM 6.5.6.0 e anteriores AEM 6.4.8.2 e anteriores AEM 6.3.3.8 e anteriores |
Eclipse Jetty |
Consumo de recursos |
AEM CS AEM 6.5.6.0 e anteriores AEM 6.4.8.2 e anteriores AEM 6.3.3.8 e anteriores |
Google-oauth-client |
Autorização imprópria |
AEM CS AEM 6.5.6.0 e anteriores AEM 6.4.8.2 e anteriores AEM 6.3.3.8 e anteriores |
Handlebars.js |
Poluição de protótipo |
AEM CS AEM 6.5.6.0 e anteriores AEM 6.4.8.2 e anteriores AEM 6.3.3.8 e anteriores |
Jackson Mapper |
Injeção de entidade externa de XML (XXE) |
AEM CS AEM 6.5.6.0 e anteriores AEM 6.4.8.2 e anteriores AEM 6.3.3.8 e anteriores |
jQuery |
Execução arbitrária de JavaScript no navegador |
AEM CS AEM 6.5.6.0 e anteriores AEM 6.4.8.2 e anteriores AEM 6.3.3.8 e anteriores |
Spring Framework |
Travessia de diretório |
AEM CS AEM 6.5.6.0 e anteriores AEM 6.4.8.2 e anteriores AEM 6.3.3.8 e anteriores |
Zip4j |
Travessia de diretório |
AEM CS AEM 6.5.6.0 e anteriores AEM 6.4.8.2 e anteriores AEM 6.3.3.8 e anteriores |
Agradecimentos
Adobe gostaria de agradecer a Frank Karlstrøm e Kenny Jansson do Storebrand Group, Noruega (CVE-2020-2444) por trabalhar com a Adobe para ajudar a proteger nossos clientes.
Revisões
13 de janeiro de 2021: AEM 6.4.8.2 e 6.3.3.8 removidos da lista de versões afetadas pelo CVE-2020-24445.