安全性公告 ID
上次更新時間
2021年4月29日
發佈 Adobe Experience Manager 的安全性更新 | APSB20-56
|
|
發佈日期 |
優先順序 |
|---|---|---|
|
APSB20-56 |
2020 年 9 月 8 日 |
2 |
摘要
受影響的產品版本
| 產品 | 版本 | 平台 |
|---|---|---|
| Adobe Experience Manager |
6.5.5.0 (含) 以前版本 |
全部 |
| 6.4.8.1 (含) 以前版本 |
全部 |
|
| 6.3.3.8 (含) 以前版本 |
全部 |
|
| 6.2 SP1-CFP20 (含) 以前版本 |
全部 |
|
| AEM Forms 附加元件 |
AEM Forms Service Pack 5 (含) 以前版本 |
全部 |
解決方法
Adobe 依照下列優先順序分級將這些更新分類,並建議使用者將其安裝更新至最新版本:
產品 |
版本 |
平台 |
優先順序 |
上市情況 |
|---|---|---|---|---|
Adobe Experience Manager (AEM) |
6.5.6.0 |
全部 |
2 |
AEM 6.5 Service Pack 發行說明 |
6.4.8.2 |
全部 |
2 |
||
| AEM Forms 附加元件 |
AEM Forms Service Pack 6 |
全部 |
2 |
AEM Forms 發行說明 |
註解:
Adobe Experience Manager 6.5.6.0 是一項重要更新,不僅內含 2019 年 4 月 6.5 版正式發行以來的全新功能,應重要客戶要求所推出的改善項目,並提升了效能、穩定性以及安全性。 此更新能在 Adobe Experience Manager 6.5 上進行安裝。
註解:
AEM Cumulative Fix Pack 6.4.8.2 是一項重要更新,內含 AEM 6.4 Service Pack 8 (6.4.8.0) 自 2020 年 3 月正式發行以來多項內部與客戶的修正程式。AEM Cumulative Fix Pack 6.4.8.2 相依於 AEM 6.4 Service Pack 8。因此,安裝 AEM Cumulative Fix Pack 6.4.8.2 套件前,請先安裝 AEM 6.4 Service Pack 8。
註解:
若需尋求 AEM 6.3 和 6.2 等版本的相關協助,請洽詢 Adobe 客戶服務。
弱點詳細資料
| 弱點類別 |
弱點影響 |
嚴重性 |
CVE 編號 |
受影響的版本 |
|---|---|---|---|---|
| 跨網站指令碼 (已儲存) |
在瀏覽器中任意執行 JavaScript |
重大 |
CVE-2020-9732 | AEM Forms SP5 (含) 以前版本 |
| 以不必要權限執行 |
敏感資訊揭露 | 重要 |
CVE-2020-9733 |
AEM 6.5.5.0 (含) 以前版本 AEM 6.4.8.1 (含) 以前版本 |
| 跨網站指令碼 (已儲存) |
在瀏覽器中任意執行 JavaScript |
重大 |
CVE-2020-9734 |
AEM Forms SP5 (含) 以前版本 |
| 跨網站指令碼 (已儲存) |
在瀏覽器中任意執行 JavaScript |
重要 |
CVE-2020-9735 |
AEM 6.5.5.0 (含) 以前版本 AEM 6.4.8.1 (含) 以前版本 AEM 6.3.3.8 (含) 以前版本 AEM 6.2 SP1-CFP20 (含) 以前版本 |
| 跨網站指令碼 (已儲存) |
在瀏覽器中任意執行 JavaScript |
重要 |
CVE-2020-9736 |
AEM 6.5.5.0 (含) 以前版本 AEM 6.4.8.1 (含) 以前版本 AEM 6.3.3.8 (含) 以前版本 AEM 6.2 SP1-CFP20 (含) 以前版本 |
| 跨網站指令碼 (已儲存) |
在瀏覽器中任意執行 JavaScript |
重要 |
CVE-2020-9737 |
AEM 6.5.5.0 (含) 以前版本 AEM 6.4.8.1 (含) 以前版本 AEM 6.3.3.8 (含) 以前版本 AEM 6.2 SP1-CFP20 (含) 以前版本 |
| 跨網站指令碼 (已儲存) |
在瀏覽器中任意執行 JavaScript |
重要 |
CVE-2020-9738 |
AEM 6.5.5.0 (含) 以前版本 AEM 6.4.8.1 (含) 以前版本 AEM 6.3.3.8 (含) 以前版本 AEM 6.2 SP1-CFP20 (含) 以前版本 |
| 跨網站指令碼 (已儲存) |
在瀏覽器中任意執行 JavaScript |
重大 |
CVE-2020-9740 |
AEM 6.5.5.0 (含) 以前版本 AEM 6.4.8.1 (含) 以前版本 AEM 6.3.3.8 (含) 以前版本 AEM 6.2 SP1-CFP20 (含) 以前版本 |
| 跨網站指令碼 (已儲存) |
在瀏覽器中任意執行 JavaScript |
重大 |
CVE-2020-9741 |
AEM Forms SP5 (含) 以前版本 |
| 跨網站指令碼 (已反映) |
在瀏覽器中任意執行 JavaScript |
重大 |
CVE-2020-9742 |
AEM 6.5.5.0 (含) 以前版本 AEM 6.4.8.1 (含) 以前版本 AEM 6.3.3.8 (含) 以前版本 |
| 插入 HTML 程式 |
在瀏覽器中任意插入 HTML 程式 |
重要 |
CVE-2020-9743 |
AEM 6.5.5.0 (含) 以前版本 AEM 6.4.8.1 (含) 以前版本 AEM 6.3.3.8 (含) 以前版本 AEM 6.2 SP1-CFP20 (含) 以前版本 |
相依性更新
|
相依性 |
弱點影響 |
受影響的版本 |
|
Handlebars.js |
在瀏覽器中任意執行 JavaScript |
AEM 6.5.5.0 (含) 以前版本 AEM 6.4.8.1 (含) 以前版本 AEM 6.3.3.8 (含) 以前版本 AEM 6.2 SP1-CFP20 (含) 以前版本 |
|
Lodash.js (已從 AEM 移除) |
原型遭受污染 |
AEM 6.5.5.0 (含) 以前版本 AEM 6.4.8.1 (含) 以前版本 AEM 6.3.3.8 (含) 以前版本 AEM 6.2 SP1-CFP20 (含) 以前版本 |
|
Log4j |
不信任資料的還原序列化 |
AEM 6.5.5.0 (含) 以前版本 AEM 6.4.8.1 (含) 以前版本 AEM 6.3.3.8 (含) 以前版本 AEM 6.2 SP1-CFP20 (含) 以前版本 |
|
Dom4j |
插入 XXE (Xml 外部實體) |
AEM 6.5.5.0 (含) 以前版本 AEM 6.4.8.1 (含) 以前版本 AEM 6.3.3.8 (含) 以前版本 AEM 6.2 SP1-CFP20 (含) 以前版本 |
