ID buletin
Ultima actualizare la
21 mai 2021
Actualizări de securitate disponibile pentru Adobe Experience Manager | APSB19-48
|
|
Data publicării |
Prioritatea |
|---|---|---|
|
APSB19-48 |
15 octombrie 2019 |
2 |
Sumar
Adobe a lansat actualizări de securitate pentru Adobe Experience Manager (AEM). Acestea remediază mai multe vulnerabilități din versiunile AEM 6.3, 6.4 și 6.5. Exploatarea reușită poate duce la accesarea neautorizată a mediului AEM.
Versiunile de produs afectate
|
Produs |
Versiunea |
Platformă |
|---|---|---|
|
Adobe Experience Manager |
6.5 6.4 6.3 6.2 6.1 6.0 |
Toate |
Soluție
Adobe acordă acestor actualizări următoarele evaluări ale priorității și recomandă utilizatorilor să își actualizeze produsele instalate la cea mai nouă versiune:
Produs |
Versiunea |
Platformă |
Prioritatea |
Disponibilitate |
|---|---|---|---|---|
Adobe Experience Manager |
6.5 |
Toate |
2 |
|
6.4 |
Toate |
2 |
||
6.3 |
Toate |
2 |
Luați legătura cu serviciul de asistență pentru clienți Adobe pentru ajutor privind versiunile AEM mai vechi.
Detalii privind vulnerabilitatea
| Categoria de vulnerabilitate |
Impactul vulnerabilității |
Severitate |
Număr CVE |
Versiuni afectate | Descărcați pachetul |
|---|---|---|---|---|---|
| Solicitări false între site-uri | Divulgare de informații sensibile | Importantă | CVE-2019-8234
|
AEM 6.2 AEM 6.3 AEM 6.4 |
|
| Scriptare reflectată pe mai multe site-uri | Divulgare de informații sensibile
|
Moderată | CVE-2019-8078 | AEM 6.2 AEM 6.3 AEM 6.4 |
|
| Scriptare stocată pe mai multe site-uri | Divulgare de informații sensibile | Importantă | CVE-2019-8079 | AEM 6.0 AEM 6.1 AEM 6.2 AEM 6.3 AEM 6.4 |
|
| Scriptare stocată pe mai multe site-uri | Escaladarea privilegiilor | Importantă | CVE-2019-8080
|
AEM 6.3 AEM 6.4 |
|
Ocolirea autentificării
|
Divulgare de informații sensibile | Importantă | CVE-2019-8081 | AEM 6.2 AEM 6.3 AEM 6.4 AEM 6.5 |
Pachet de remedieri cumulative pentru 6.3 SP3 – AEM-6.3.3.6 |
| Injectare entități externe XML | Divulgare de informații sensibile
|
Importantă | CVE-2019-8082 | AEM 6.2 AEM 6.3 AEM 6.4 |
|
| Scriptare pe mai multe site-uri | Divulgare de informații sensibile
|
Moderată
|
CVE-2019-8083
|
AEM 6.3 AEM 6.4 AEM 6.5 |
Pachet de remedieri cumulative pentru 6.3 SP3 – AEM-6.3.3.6 |
| Scriptare reflectată pe mai multe site-uri | Divulgare de informații sensibile
|
Moderată
|
CVE-2019-8084
|
AEM 6.2 AEM 6.3 AEM 6.4 AEM 6.5 |
Pachet de remedieri cumulative pentru 6.3 SP3 – AEM-6.3.3.6 |
Scriptare reflectată pe mai multe site-uri
|
Divulgare de informații sensibile
|
Moderată
|
CVE-2019-8085
|
AEM 6.2 AEM 6.3 AEM 6.4 AEM 6.5 |
Pachet de remedieri cumulative pentru 6.3 SP3 – AEM-6.3.3.6 |
Injectare entități externe XML
|
Divulgare de informații sensibile
|
Importantă
|
CVE-2019-8086
|
AEM 6.2 AEM 6.3 AEM 6.4 AEM 6.5
|
Pachet de remedieri cumulative pentru 6.3 SP3 – AEM-6.3.3.6 |
Injectare entități externe XML
|
Divulgare de informații sensibile
|
Importantă
|
CVE-2019-8087
|
AEM 6.2 AEM 6.3 AEM 6.4 AEM 6.5 |
Pachet de remedieri cumulative pentru 6.3 SP3 – AEM-6.3.3.6 |
Injectare cod JavaScript
|
Executare de cod arbitrară
|
Critică
|
CVE-2019-8088*
|
AEM 6.2 AEM 6.3 AEM 6.4 AEM 6.5
|
Pachet de remedieri cumulative pentru 6.3 SP3 – AEM-6.3.3.6 |
Notă:
Executarea de cod JavaScript (CVE-2019-8088) afectează doar versiunea 6.2. Începând cu 6.3, motorul Rhino strict protejat prin sandbox, este utilizat pentru a executa JavaScript, ceea ce reduce impactul CVE-2019-8088 la atacurile de tip falsificare în orb a solicitărilor de partea serverului (SSRF - Server-Side Request Forgery) și refuzare a serviciului (DoS).
Notă:
Notă: Pachetele listate în tabelul de mai sus sunt pachetele de remedieri minime pentru a remedia vulnerabilitatea relevantă. Pentru cele mai recente versiuni, consultați linkurile către notele privind versiunea menționate mai sus.
Mențiuni
Adobe dorește să mulțumească următoarelor persoane și organizații pentru raportarea problemelor relevante și pentru colaborarea cu Adobe în scopul protejării clienților noștri:
Lorenzo Pirondini (Netcentric, o companie Cognizant Digital) (CVE-2019-8078, CVE-2019-8079, CVE-2019-8080, CVE-2019-8083, CVE-2019-8084, CVE-2019-8085)
Pankaj Upadhyay de la T. Rowe Price Associates, Inc. (https://pankajupadhyay.in) (CVE-2019-8081)
Mikhail Egorov @0ang3el (CVE-2019-8086, CVE-2019-8087, CVE-2019-8088)
Revizii
15 octombrie 2019: ID CVE actualizat de la CVE-2019-8077 la CVE-2019-8234.
11 martie 2020: s-a adăugat o notă pentru a clarifica faptul că executarea de cod JavaScript (CVE-2019-8088) afectează doar AEM 6.2.
