ID buletin
Ultima actualizare la
21 mai 2021
Actualizări de securitate disponibile pentru Adobe Experience Manager | APSB20-56
|
|
Data publicării |
Prioritatea |
|---|---|---|
|
APSB20-56 |
8 septembrie 2020 |
2 |
Sumar
Adobe a lansat actualizări pentru Adobe Experience Manager (AEM) și pachetul suplimentar AEM Forms. Aceste actualizări remediază vulnerabilități evaluate drept critice și importante. Exploatarea reușită a acestora ar putea duce la executarea arbitrară de cod JavaScript în browser.
Versiunile de produs afectate
| Produs | Versiunea | Platformă |
|---|---|---|
| Adobe Experience Manager |
6.5.5.0 şi versiunile anterioare |
Toate |
| 6.4.8.1 și versiunile anterioare |
Toate |
|
| 6.3.3.8 și versiunile anterioare |
Toate |
|
| 6.2 SP1-CFP20 şi versiunile anterioare |
Toate |
|
| Supliment AEM Forms |
AEM Forms Service Pack 5 şi versiunile anterioare |
Toate |
Soluție
Adobe acordă acestor actualizări următoarele evaluări ale priorității și recomandă utilizatorilor să își actualizeze produsele instalate la cea mai nouă versiune:
Produs |
Versiunea |
Platformă |
Prioritatea |
Disponibilitate |
|---|---|---|---|---|
Adobe Experience Manager (AEM) |
6.5.6.0 |
Toate |
2 |
Note privind lansarea pachetului AEM 6.5 Service Pack |
6.4.8.2 |
Toate |
2 |
Note privind lansarea pachetului de remedieri cumulative AEM 6.4 |
|
| Supliment AEM Forms |
Pachet AEM Forms Service Pack 6 |
Toate |
2 |
Ediții AEM Forms |
Notă:
Adobe Experience Manager 6.5.6.0 este o actualizare importantă care include caracteristici noi, îmbunătățiri importante solicitate de clienți și îmbunătățiri de performanță, stabilitate și securitate, lansate după data de disponibilitate generală a versiunii 6.5, în aprilie 2019. Poate fi instalat peste Adobe Experience Manager 6.5.
Notă:
Pachetul de remedieri cumulative AEM 6.4.8.2 este o actualizare importantă care include mai multe remedieri interne și de la clienți, lansate după data de disponibilitate generală a pachetului AEM 6.4 Service Pack 8 (6.4.8.0), în martie 2020. Pachetul de remedieri cumulative AEM 6.4.8.2 depinde de pachetul AEM 6.4 Service Pack 8. Prin urmare, trebuie să instalați pachetul de remedieri cumulative AEM 6.4.8.2 după ce instalați AEM 6.4 Service Pack 8.
Notă:
Contactați serviciul de asistență pentru clienți Adobe pentru ajutor privind versiunile AEM 6.3 și 6.2.
Detalii privind vulnerabilitatea
| Categoria de vulnerabilitate |
Impactul vulnerabilității |
Severitate |
Număr CVE |
Versiuni afectate |
|---|---|---|---|---|
| Scriptare între site-uri (stocată) ( |
Executare arbitrară de cod JavaScript în browser |
Critică |
CVE-2020-9732 | AEM Forms SP5 și versiunile anterioare |
| Execuție cu privilegii nenecesare |
Divulgare de informații sensibile | Importantă |
CVE-2020-9733 |
AEM 6.5.5.0 și versiunile anterioare AEM 6.4.8.1 și versiunile anterioare |
| Scriptare între site-uri (stocată) ( |
Executare arbitrară de cod JavaScript în browser |
Critică |
CVE-2020-9734 |
AEM Forms SP5 și versiunile anterioare |
| Scriptare între site-uri (stocată) ( |
Executare arbitrară de cod JavaScript în browser |
Importantă |
CVE-2020-9735 |
AAEM 6.5.5.0 și versiunile anterioare AEM 6.4.8.1 și versiunile anterioare AEM 6.3.3.8 și versiunile anterioare AEM 6.2 SP1-CFP20 și versiunile anterioare |
| Scriptare între site-uri (stocată) ( |
Executare arbitrară de cod JavaScript în browser |
Importantă |
CVE-2020-9736 |
AEM 6.5.5.0 și versiunile anterioare AEM 6.4.8.1 și versiunile anterioare AEM 6.3.3.8 și versiunile anterioare AEM 6.2 SP1-CFP20 și versiunile anterioare |
| Scriptare între site-uri (stocată) ( |
Executare arbitrară de cod JavaScript în browser |
Importantă |
CVE-2020-9737 |
AEM 6.5.5.0 și versiunile anterioare AEM 6.4.8.1 și versiunile anterioare AEM 6.3.3.8 și versiunile anterioare AEM 6.2 SP1-CFP20 și versiunile anterioare |
| Scriptare între site-uri (stocată) ( |
Executare arbitrară de cod JavaScript în browser |
Importantă |
CVE-2020-9738 |
AEM 6.5.5.0 și versiunile anterioare AEM 6.4.8.1 și versiunile anterioare AEM 6.3.3.8 și versiunile anterioare AEM 6.2 SP1-CFP20 și versiunile anterioare |
| Scriptare între site-uri (stocată) ( |
Executare arbitrară de cod JavaScript în browser |
Critică |
CVE-2020-9740 |
AEM 6.5.5.0 și versiunile anterioare AEM 6.4.8.1 și versiunile anterioare AEM 6.3.3.8 și versiunile anterioare AEM 6.2 SP1-CFP20 și versiunile anterioare |
| Scriptare între site-uri (stocată) ( |
Executare arbitrară de cod JavaScript în browser |
Critică |
CVE-2020-9741 |
AEM Forms SP5 și versiunile anterioare |
| Scriptare între site-uri (reflectată) |
Executare arbitrară de cod JavaScript în browser |
Critică |
CVE-2020-9742 |
AEM 6.5.5.0 și versiunile anterioare AEM 6.4.8.1 și versiunile anterioare AEM 6.3.3.8 și versiunile anterioare |
| Injectare HTML |
Injectare HTML arbitrară în browser |
Importantă |
CVE-2020-9743 |
AEM 6.5.5.0 și versiunile anterioare AEM 6.4.8.1 și versiunile anterioare AEM 6.3.3.8 și versiunile anterioare AEM 6.2 SP1-CFP20 și versiunile anterioare |
Actualizări ale dependențelor
|
Dependență |
Impactul vulnerabilității |
Versiuni afectate |
|
Handlebars.js |
Executare arbitrară de cod JavaScript în browser |
AEM 6.5.5.0 și versiunile anterioare AEM 6.4.8.1 și versiunile anterioare AEM 6.3.3.8 și versiunile anterioare AEM 6.2 SP1-CFP20 și versiunile anterioare |
|
Lodash.js (eliminat din AEM) |
Poluarea prototipurilor |
AEM 6.5.5.0 și versiunile anterioare AEM 6.4.8.1 și versiunile anterioare AEM 6.3.3.8 și versiunile anterioare AEM 6.2 SP1-CFP20 și versiunile anterioare |
|
Log4j |
Deserializarea datelor neautorizate |
AEM 6.5.5.0 și versiunile anterioare AEM 6.4.8.1 și versiunile anterioare AEM 6.3.3.8 și versiunile anterioare AEM 6.2 SP1-CFP20 și versiunile anterioare |
|
Dom4j |
Injectare XXE (Xml eXternal Entity) |
AEM 6.5.5.0 și versiunile anterioare AEM 6.4.8.1 și versiunile anterioare AEM 6.3.3.8 și versiunile anterioare AEM 6.2 SP1-CFP20 și versiunile anterioare |
