Actualizări de securitate disponibile pentru Adobe Experience Manager | APSB19-48
ID buletin Data publicării Prioritatea
APSB19-48 15 octombrie 2019 2

Sumar

Adobe a lansat actualizări de securitate pentru Adobe Experience Manager (AEM). Acestea remediază mai multe vulnerabilități din versiunile AEM 6.3, 6.4 și 6.5. Exploatarea reușită poate duce la accesarea neautorizată a mediului AEM.

Versiunile de produs afectate

Produs Versiunea Platformă
Adobe Experience Manager

6.5

6.4

6.3

6.2

6.1

6.0

Toate

Soluție

Adobe acordă acestor actualizări următoarele evaluări ale priorității și recomandă utilizatorilor să își actualizeze produsele instalate la cea mai nouă versiune:

Produs

Versiunea

Platformă

Prioritatea

Disponibilitate

 

Adobe Experience Manager

6.5

Toate

2

Lansări și actualizări

6.4

Toate

2

Lansări și actualizări

6.3

Toate

2

Lansări și actualizări

Luați legătura cu serviciul de asistență pentru clienți Adobe pentru ajutor privind versiunile AEM mai vechi.

Detalii privind vulnerabilitatea

Categoria de vulnerabilitate

Impactul vulnerabilității

Severitate

Număr CVE 

Versiuni afectate Descărcați pachetul
Solicitări false între site-uri Divulgare de informații sensibile Importantă

CVE-2019-8234

 

AEM 6.2

AEM 6.3

AEM 6.4

Pachet de remedieri cumulative pentru 6.3 SP3 – AEM-6.3.3.6

Service Pack pentru 6.4 - AEM-6.4.6.0

Scriptare reflectată pe mai multe site-uri

Divulgare de informații sensibile

 

Moderată CVE-2019-8078

AEM 6.2

AEM 6.3

AEM 6.4

Pachet de remedieri cumulative pentru 6.3 SP3 – AEM-6.3.3.6

Service Pack pentru 6.4 - AEM-6.4.6.0

Scriptare stocată pe mai multe site-uri Divulgare de informații sensibile Importantă CVE-2019-8079

AEM 6.0

AEM 6.1

AEM 6.2

AEM 6.3 

AEM 6.4

Pachet de remedieri cumulative pentru 6.3 SP3 – AEM-6.3.3.6

Service Pack pentru 6.4 - AEM-6.4.4.0

Scriptare stocată pe mai multe site-uri Escaladarea privilegiilor Importantă 

CVE-2019-8080

 

AEM 6.3

AEM 6.4

Pachet de remedieri cumulative pentru 6.3 SP3 – AEM-6.3.3.6

Service Pack pentru 6.4 - AEM-6.4.6.0

Ocolirea autentificării

 

 

Divulgare de informații sensibile Importantă CVE-2019-8081

AEM 6.2

AEM 6.3

AEM 6.4

AEM 6.5 

Pachet de remedieri cumulative pentru 6.3 SP3 – AEM-6.3.3.6

Service Pack pentru 6.4 - AEM-6.4.6.0

Service Pack pentru 6.5 - AEM-6.5.2.0 

Injectare entități externe XML

Divulgare de informații sensibile

 

Importantă CVE-2019-8082

AEM 6.2

AEM 6.3 

AEM 6.4

Pachet de remedieri cumulative pentru 6.3 SP3 – AEM-6.3.3.6

Service Pack pentru 6.4 - AEM-6.4.6.0

Scriptare pe mai multe site-uri

Divulgare de informații sensibile

 

Moderată

 

CVE-2019-8083

 

AEM 6.3

AEM 6.4

AEM 6.5

Pachet de remedieri cumulative pentru 6.3 SP3 – AEM-6.3.3.6

Service Pack pentru 6.4 - AEM-6.4.6.0

Service Pack pentru 6.5 - AEM-6.5.2.0 

Scriptare reflectată pe mai multe site-uri

Divulgare de informații sensibile

 

 

Moderată

 

 

 

 

CVE-2019-8084

 

 

AEM 6.2

AEM 6.3

AEM 6.4 

AEM 6.5

Pachet de remedieri cumulative pentru 6.3 SP3 – AEM-6.3.3.6

Service Pack pentru 6.4 - AEM-6.4.5.0

Service Pack pentru 6.5 - AEM-6.5.2.0 

Scriptare reflectată pe mai multe site-uri

 

 

Divulgare de informații sensibile

 

 

Moderată

 

 

 

 

CVE-2019-8085

 

 

AEM 6.2

AEM 6.3

AEM 6.4 

AEM 6.5

Pachet de remedieri cumulative pentru 6.3 SP3 – AEM-6.3.3.6

Service Pack pentru 6.4 - AEM-6.4.5.0

Service Pack pentru 6.5 - AEM-6.5.2.0 

Injectare entități externe XML

 

 

Divulgare de informații sensibile

 

 

Importantă

 

 

CVE-2019-8086

 

 

AEM 6.2

AEM 6.3 

AEM 6.4

AEM 6.5

 

Pachet de remedieri cumulative pentru 6.3 SP3 – AEM-6.3.3.6

Service Pack pentru 6.4 - AEM-6.4.6.0

Service Pack pentru 6.5 - AEM-6.5.2.0 

Injectare entități externe XML

 

 

Divulgare de informații sensibile

 

Importantă

 

 

CVE-2019-8087

 

 

AEM 6.2

AEM 6.3 

AEM 6.4

AEM 6.5

Pachet de remedieri cumulative pentru 6.3 SP3 – AEM-6.3.3.6

Service Pack pentru 6.4 - AEM-6.4.6.0

Service Pack pentru 6.5 - AEM-6.5.2.0 

Injectare cod JavaScript

 

 

Executare de cod arbitrară

 

 

Critică

 

 

CVE-2019-8088*

 

 

AEM 6.2

AEM 6.3

AEM 6.4

AEM 6.5

 

Pachet de remedieri cumulative pentru 6.3 SP3 – AEM-6.3.3.6

Service Pack pentru 6.4 - AEM-6.4.6.0

Service Pack pentru 6.5 - AEM-6.5.2.0 

Notă:

Executarea de cod JavaScript (CVE-2019-8088) afectează doar versiunea 6.2. Începând cu 6.3, motorul Rhino strict protejat prin sandbox, este utilizat pentru a executa JavaScript, ceea ce reduce impactul CVE-2019-8088 la atacurile de tip falsificare în orb a solicitărilor de partea serverului (SSRF - Server-Side Request Forgery) și refuzare a serviciului (DoS). 

Notă:

Notă: Pachetele listate în tabelul de mai sus sunt pachetele de remedieri minime pentru a remedia vulnerabilitatea relevantă.  Pentru cele mai recente versiuni, consultați linkurile către notele privind versiunea menționate mai sus.

Mențiuni

Adobe dorește să mulțumească următoarelor persoane și organizații pentru raportarea problemelor relevante și pentru colaborarea cu Adobe în scopul protejării clienților noștri:     

  • Mikhail Egorov @0ang3el (CVE-2019-8086, CVE-2019-8087, CVE-2019-8088)

Revizii

15 octombrie 2019: ID CVE actualizat de la CVE-2019-8077 la CVE-2019-8234.

11 martie 2020: s-a adăugat o notă pentru a clarifica faptul că executarea de cod JavaScript (CVE-2019-8088) afectează doar AEM 6.2.