Бюллетень безопасности Adobe

Обновления безопасности для Adobe Experience Manager | APSB20-56

Идентификатор бюллетеня

Дата публикации

Приоритет

APSB20-56 

8 сентября 2020 г 

2

Сводка

Компания Adobe выпустила обновления для Adobe Experience Manager (AEM) и дополнительного пакета AEM Forms. В этих обновлениях устранены уязвимости, которые классифицируются как критические и важные.При успешном использовании эта уязвимость могла привести к выполнению произвольного сценария JavaScript в браузере.


Затрагиваемые версии продуктов

Продукт Версия Платформа
Adobe Experience Manager
6.5.5.0 и более ранние версии 
Все
6.4.8.1 и более ранние версии 
Все 
6.3.3.8 и более ранние версии 
Все 
6.2 SP1-CFP20 и более ранние версии 
Все 
Дополнение для AEM Forms
AEM Forms с пакетом обновления 5 и более ранние версии
Все 

Решение

Компания Adobe категоризирует эти обновления при помощи следующих рейтингов приоритета и рекомендует пользователям обновлять установленное программное обеспечение до последних версий:

Продукт

Версия

Платформа

Приоритет

Доступность

 

Adobe Experience Manager (AEM) 

6.5.6.0 

Все

2

Заметки о выпуске пакета обновления для AEM 6.5   

6.4.8.2 

Все

2

Заметки о выпуске накопительного пакета исправлений для AEM 6.4   

Дополнение для AEM Forms
AEM Forms с пакетом обновления 6
Все
2
Выпуски AEM Forms
Примечание.

Adobe Experience Manager 6.5.6.0 — это важное обновление, которое содержит новые функции, основные улучшения, запрошенные заказчиками, а также улучшения в области производительности, стабильности и безопасности, которые были выпущены с момента появления общедоступной версии 6.5 в апреле 2019 г.Это обновление можно устанавливать поверх Adobe Experience Manager 6.5.

Примечание.

Накопительный пакет исправлений AEM 6.4.8.2 — это важное обновление, которое содержит несколько внутренних исправлений и исправлений по запросу заказчиков, которые были внесены с момента появления общедоступной версии AEM 6.4 с пакетом обновления 8 (6.4.8.0) в марте 2020 г. Для установки накопительного пакета исправлений AEM 6.4.8.2 требуется AEM 6.4 с пакетом обновления 8. Поэтому накопительный пакет исправлений AEM 6.4.8.2 необходимо устанавливать после установки AEM 6.4 с пакетом обновления 8.

Примечание.

Для получения помощи с AEM версий 6.3 и 6.2 обратитесь в отдел обслуживания клиентов компании Adobe.

Сведения об уязвимости

Категория уязвимости

Влияние уязвимости

Серьезность

Номер CVE 

Затронутые версии
Межсайтовый скриптинг (сохраненный)
Выполнение произвольного сценария JavaScript в браузере
Критическая
CVE-2020-9732

AEM Forms с пакетом обновления 5 и более ранние версии

Выполнение с ненужными привилегиями
Раскрытие конфиденциальной информации Важная
CVE-2020-9733

AEM 6.5.5.0 и более ранние версии

AEM 6.4.8.1 и более ранние версии

Межсайтовый скриптинг (сохраненный)
Выполнение произвольного сценария JavaScript в браузере
Критическая
CVE-2020-9734
AEM Forms с пакетом обновления 5 и более ранние версии
Межсайтовый скриптинг (сохраненный)
Выполнение произвольного сценария JavaScript в браузере
Важная
CVE-2020-9735

AAEM 6.5.5.0 и более ранние версии

AEM 6.4.8.1 и более ранние версии

AEM 6.3.3.8 и более ранние версии

AEM 6.2 SP1-CFP20 и более ранние версии 

Межсайтовый скриптинг (сохраненный)
Выполнение произвольного сценария JavaScript в браузере
Важная
CVE-2020-9736

AEM 6.5.5.0 и более ранние версии

AEM 6.4.8.1 и более ранние версии

AEM 6.3.3.8 и более ранние версии

AEM 6.2 SP1-CFP20 и более ранние версии 

Межсайтовый скриптинг (сохраненный)
Выполнение произвольного сценария JavaScript в браузере
Важная
CVE-2020-9737

AEM 6.5.5.0 и более ранние версии

AEM 6.4.8.1 и более ранние версии

AEM 6.3.3.8 и более ранние версии

AEM 6.2 SP1-CFP20 и более ранние версии 

Межсайтовый скриптинг (сохраненный)
Выполнение произвольного сценария JavaScript в браузере
Важная

CVE-2020-9738

AEM 6.5.5.0 и более ранние версии

AEM 6.4.8.1 и более ранние версии

AEM 6.3.3.8 и более ранние версии

AEM 6.2 SP1-CFP20 и более ранние версии 

Межсайтовый скриптинг (сохраненный)
Выполнение произвольного сценария JavaScript в браузере
Критическая
CVE-2020-9740

AEM 6.5.5.0 и более ранние версии

AEM 6.4.8.1 и более ранние версии

AEM 6.3.3.8 и более ранние версии

AEM 6.2 SP1-CFP20 и более ранние версии 

Межсайтовый скриптинг (сохраненный)
Выполнение произвольного сценария JavaScript в браузере
Критическая
CVE-2020-9741
AEM Forms с пакетом обновления 5 и более ранние версии
Межсайтовый скриптинг (отраженный)
Выполнение произвольного сценария JavaScript в браузере
Критическая
CVE-2020-9742

AEM 6.5.5.0 и более ранние версии

AEM 6.4.8.1 и более ранние версии

AEM 6.3.3.8 и более ранние версии

Внедрение HTML-файла
Внедрение произвольного HTML-файла в браузере
Важная
CVE-2020-9743

AEM 6.5.5.0 и более ранние версии

AEM 6.4.8.1 и более ранние версии

AEM 6.3.3.8 и более ранние версии

AEM 6.2 SP1-CFP20 и более ранние версии 

Обновления для зависимостей

Зависимость

Влияние уязвимости

Затронутые версии

Handlebars.js

Выполнение произвольного сценария JavaScript в браузере

AEM 6.5.5.0 и более ранние версии

AEM 6.4.8.1 и более ранние версии

AEM 6.3.3.8 и более ранние версии

AEM 6.2 SP1-CFP20 и более ранние версии 

Lodash.js (удалена из AEM)

Засорение прототипов

AEM 6.5.5.0 и более ранние версии

AEM 6.4.8.1 и более ранние версии

AEM 6.3.3.8 и более ранние версии

AEM 6.2 SP1-CFP20 и более ранние версии 

Log4j

Десериализация ненадежных данных

AEM 6.5.5.0 и более ранние версии

AEM 6.4.8.1 и более ранние версии

AEM 6.3.3.8 и более ранние версии

AEM 6.2 SP1-CFP20 и более ранние версии 

Dom4j

Вставка внешнего элемента XML (XXE)

AEM 6.5.5.0 и более ранние версии

AEM 6.4.8.1 и более ранние версии

AEM 6.3.3.8 и более ранние версии

AEM 6.2 SP1-CFP20 и более ранние версии 

Логотип Adobe

Вход в учетную запись