發佈 Adobe Experience Manager 的安全性更新 | APSB19-48
安全性公告 ID 發佈日期 優先順序
APSB19-48 2019 年 10 月 15 日 2

摘要

Adobe 已發佈 Adobe Experience Manager (AEM) 的安全性更新。這些更新可解決 AEM 6.3、6.4 和 6.5 版本的多個弱點。這些弱點一旦遭有心人士利用,對方就可能會擅自存取 AEM 環境。

受影響的產品版本

產品 版本 平台
Adobe Experience Manager

6.5

6.4

6.3

6.2

6.1

6.0

全部

解決方法

Adobe 依照下列優先順序分級將這些更新分類,並建議使用者將其安裝更新至最新版本:

產品

版本

平台

優先順序

上市情況

 

Adobe Experience Manager

6.5

全部

2

版本與更新

6.4

全部

2

版本與更新

6.3

全部

2

版本與更新

如需 AEM 舊版的協助,請連絡 Adobe 客戶服務

弱點詳細資料

弱點類別

弱點影響

嚴重性

CVE 編號 

受影響的版本 下載套件
跨網站請求偽造 敏感資訊揭露 重要

CVE-2019-8234

 

AEM 6.2

AEM 6.3

AEM 6.4

6.3 版 SP3 累積修補程式套件 – AEM-6.3.3.6

適用於 6.4 版的 Service Pack - AEM-6.4.6.0

反映式跨網站指令碼

敏感資訊揭露

 

中度 CVE-2019-8078

AEM 6.2

AEM 6.3

AEM 6.4

6.3 版 SP3 累積修補程式套件 – AEM-6.3.3.6

適用於 6.4 版的 Service Pack - AEM-6.4.6.0

儲存式跨網站指令碼 敏感資訊揭露 重要 CVE-2019-8079

AEM 6.0

AEM 6.1

AEM 6.2

AEM 6.3 

AEM 6.4

6.3 版 SP3 累積修補程式套件 – AEM-6.3.3.6

適用於 6.4 版的 Service Pack - AEM-6.4.4.0

儲存式跨網站指令碼 權限竊取 重要 

CVE-2019-8080

 

AEM 6.3

AEM 6.4

6.3 版 SP3 累積修補程式套件 – AEM-6.3.3.6

適用於 6.4 版的 Service Pack - AEM-6.4.6.0

驗證無故省略

 

 

敏感資訊揭露 重要 CVE-2019-8081

AEM 6.2

AEM 6.3

AEM 6.4

AEM 6.5 

6.3 版 SP3 累積修補程式套件 – AEM-6.3.3.6

適用於 6.4 版的 Service Pack - AEM-6.4.6.0

適用於 6.5 版的 Service Pack - AEM-6.5.2.0 

XML 外部實體插入

敏感資訊揭露

 

重要 CVE-2019-8082

AEM 6.2

AEM 6.3 

AEM 6.4

6.3 版 SP3 累積修補程式套件 – AEM-6.3.3.6

適用於 6.4 版的 Service Pack - AEM-6.4.6.0

跨網站指令碼

敏感資訊揭露

 

中度

 

CVE-2019-8083

 

AEM 6.3

AEM 6.4

AEM 6.5

6.3 版 SP3 累積修補程式套件 – AEM-6.3.3.6

適用於 6.4 版的 Service Pack - AEM-6.4.6.0

適用於 6.5 版的 Service Pack - AEM-6.5.2.0 

反映式跨網站指令碼

敏感資訊揭露

 

 

中度

 

 

 

 

CVE-2019-8084

 

 

AEM 6.2

AEM 6.3

AEM 6.4 

AEM 6.5

6.3 版 SP3 累積修補程式套件 – AEM-6.3.3.6

適用於 6.4 版的 Service Pack - AEM-6.4.5.0

適用於 6.5 版的 Service Pack - AEM-6.5.2.0 

反映式跨網站指令碼

 

 

敏感資訊揭露

 

 

中度

 

 

 

 

CVE-2019-8085

 

 

AEM 6.2

AEM 6.3

AEM 6.4 

AEM 6.5

6.3 版 SP3 累積修補程式套件 – AEM-6.3.3.6

適用於 6.4 版的 Service Pack - AEM-6.4.5.0

適用於 6.5 版的 Service Pack - AEM-6.5.2.0 

XML 外部實體插入

 

 

敏感資訊揭露

 

 

重要

 

 

CVE-2019-8086

 

 

AEM 6.2

AEM 6.3 

AEM 6.4

AEM 6.5

 

6.3 版 SP3 累積修補程式套件 – AEM-6.3.3.6

適用於 6.4 版的 Service Pack - AEM-6.4.6.0

適用於 6.5 版的 Service Pack - AEM-6.5.2.0 

XML 外部實體插入

 

 

敏感資訊揭露

 

重要

 

 

CVE-2019-8087

 

 

AEM 6.2

AEM 6.3 

AEM 6.4

AEM 6.5

6.3 版 SP3 累積修補程式套件 – AEM-6.3.3.6

適用於 6.4 版的 Service Pack - AEM-6.4.6.0

適用於 6.5 版的 Service Pack - AEM-6.5.2.0 

JavaScript 程式碼插入

 

 

任意執行程式碼

 

 

重大

 

 

CVE-2019-8088*

 

 

AEM 6.2

AEM 6.3

AEM 6.4

AEM 6.5

 

6.3 版 SP3 累積修補程式套件 – AEM-6.3.3.6

適用於 6.4 版的 Service Pack - AEM-6.4.6.0

適用於 6.5 版的 Service Pack - AEM-6.5.2.0 

註解:

JavaScript 程式碼執行 (CVE-2019-8088) 僅影響 6.2 版。  自 6.3 版開始,使用嚴格沙盒環境的 Rhino 引擎會用來執行 JavaScript,這會減少 CVE-2019-8088 的影響,讓伺服器端偽造要求 (SSRF) 攻擊和阻絕服務 (DoS) 無法發揮作用。 

註解:

注意:上表所列套件為解決相關弱點所需的最低版本修補程式套件。  如欲取得最新版本,請利用上方提及的版本說明連結。

鳴謝

Adobe 在此感謝以下個人和組織提報相關問題,並與 Adobe 合作,協助我們保護客戶:

  • Mikhail Egorov @0ang3el (CVE-2019-8086、CVE-2019-8087、CVE-2019-8088)

修訂

2019 年 10 月 15 日:將 CVE ID 從 CVE-2019-8077 更新至 CVE-2019-8234。

2020 年 3 月 11 日:新增說明,釐清 JavaScript 程式碼執行作業 (CVE-2019-8088) 僅會影響 AEM 6.2。