Bulletin-ID
Senast uppdaterad den
2 maj 2021
Säkerhetsuppdateringar för Adobe Experience Manager | APSB19-48
|
|
Publiceringsdatum |
Prioritet |
|---|---|---|
|
APSB19-48 |
den 15 oktober 2019 |
2 |
Sammanfattning
Adobe har släppt säkerhetsuppdateringar för Adobe Experience Manager (AEM). Uppdateringarna åtgärdar flera säkerhetsluckor i AEM-versionerna 6.3, 6.4 och 6.5. Exploatering kan leda till obehörig åtkomst till AEM-miljön.
Berörda produktversioner
|
Produkt |
Version |
Plattform |
|---|---|---|
|
Adobe Experience Manager |
6.5 6.4 6.3 6.2 6.1 6.0 |
Alla |
Lösning
Adobe klassar dessa uppdateringar med följande prioritetsklassificeringar och rekommenderar användare att uppdatera till den senaste versionen:
Produkt |
Version |
Plattform |
Prioritet |
Tillgänglighet |
|---|---|---|---|---|
Adobe Experience Manager |
6.5 |
Alla |
2 |
|
6.4 |
Alla |
2 |
||
6.3 |
Alla |
2 |
Kontakta Adobes kundtjänst för hjälp med tidigare AEM-versioner.
Sårbarhetsinformation
| Sårbarhetskategori |
Sårbarhetens inverkan |
Allvarlighet |
CVE-nummer |
Berörda versioner | Hämtningspaket |
|---|---|---|---|---|---|
| Serveröverskridande förfalskade begäranden | Exponering av känslig information | Viktig | CVE-2019-8234
|
AEM 6.2 AEM 6.3 AEM 6.4 |
|
| Reflekterande serveröverskridande skript | Exponering av känslig information
|
Måttlig | CVE-2019-8078 | AEM 6.2 AEM 6.3 AEM 6.4 |
|
| Lagrat serveröverskridande skript | Exponering av känslig information | Viktig | CVE-2019-8079 | AEM 6.0 AEM 6.1 AEM 6.2 AEM 6.3 AEM 6.4 |
|
| Lagrat serveröverskridande skript | Eskalering av behörighet | Viktig | CVE-2019-8080
|
AEM 6.3 AEM 6.4 |
|
Kringgående av autentisering
|
Exponering av känslig information | Viktig | CVE-2019-8081 | AEM 6.2 AEM 6.3 AEM 6.4 AEM 6.5 |
Kumulativt korrigeringspaket för 6.3 SP3 – AEM-6.3.3.6 |
| XML-injektion av extern enhet | Exponering av känslig information
|
Viktig | CVE-2019-8082 | AEM 6.2 AEM 6.3 AEM 6.4 |
|
| Serveröverskridande skript | Exponering av känslig information
|
Måttlig
|
CVE-2019-8083
|
AEM 6.3 AEM 6.4 AEM 6.5 |
Kumulativt korrigeringspaket för 6.3 SP3 – AEM-6.3.3.6 |
| Reflekterande serveröverskridande skript | Exponering av känslig information
|
Måttlig
|
CVE-2019-8084
|
AEM 6.2 AEM 6.3 AEM 6.4 AEM 6.5 |
Kumulativt korrigeringspaket för 6.3 SP3 – AEM-6.3.3.6 |
Reflekterande serveröverskridande skript
|
Exponering av känslig information
|
Måttlig
|
CVE-2019-8085
|
AEM 6.2 AEM 6.3 AEM 6.4 AEM 6.5 |
Kumulativt korrigeringspaket för 6.3 SP3 – AEM-6.3.3.6 |
XML-injektion av extern enhet
|
Exponering av känslig information
|
Viktig
|
CVE-2019-8086
|
AEM 6.2 AEM 6.3 AEM 6.4 AEM 6.5
|
Kumulativt korrigeringspaket för 6.3 SP3 – AEM-6.3.3.6 |
XML-injektion av extern enhet
|
Exponering av känslig information
|
Viktig
|
CVE-2019-8087
|
AEM 6.2 AEM 6.3 AEM 6.4 AEM 6.5 |
Kumulativt korrigeringspaket för 6.3 SP3 – AEM-6.3.3.6 |
JavaScript-kodinjektion
|
Exekvering av godtycklig kod
|
Kritisk
|
CVE-2019-8088*
|
AEM 6.2 AEM 6.3 AEM 6.4 AEM 6.5
|
Kumulativt korrigeringspaket för 6.3 SP3 – AEM-6.3.3.6 |
Obs!
JavaScript-kodkörning (CVE-2019-8088) påverkar endast version 6.2. Från och med 6.3 används den strikt sandlådebaserade Rhino-motorn för att exekvera JavaScript, vilket minskar effekten av CVE-2019-8088 för blinda SSRF-attacker (förfalskad begäran på serversidan) och DoS-attacker (Denial-of-Service).
Obs!
Obs: Paketen som anges i tabellen ovan är de minimala korrigeringspaketen som åtgärdar den listade sårbarheten. För de senaste versionerna se versionsinformationslänkarna ovan.
Tack
Adobe tackar följande personer för att de har rapporterat problemen och för att de samarbetar med oss i säkerhetsfrågor:
Lorenzo Pirondini (Netcentric, A Cognizant Digital Business) (CVE-2019-8078, CVE-2019-8079, CVE-2019-8080, CVE-2019-808 3, CVE-2019-8084, CVE-2019-8085)
Pankaj Upadhyay på T. Rowe Price Associates, Inc. (https://pankajupadhyay.in) (CVE-2019-8081)
Mikhail Egorov @0ang3el (CVE-2019-8086, CVE-2019-8087, CVE-2019-8088)
Revisioner
15 oktober 2019: Uppdaterat CVE-ID från CVE -2019-8077 till CVE -2019-8234.
11 mars 2020: Ett meddelande lades till för att förtydliga att JavaScript-kodkörning (CVE-2019-8088) bara påverkar AEM 6.2.
