ID bollettino
Ultimo aggiornamento il
3 mag 2021
Aggiornamenti di sicurezza disponibili per Adobe Experience Manager | APSB20-56
|
|
Data di pubblicazione |
Priorità |
|---|---|---|
|
APSB20-56 |
8 settembre 2020 |
2 |
Riepilogo
Adobe ha rilasciato aggiornamenti per Adobe Experience Manager (AEM) e il pacchetto del componente aggiuntivo AEM Forms. Questi aggiornamenti risolvono vulnerabilità Importanti e Critiche. Se sfruttate con successo queste vulnerabilità, l'esecuzione arbitraria di JavaScript nel browser potrebbe provocare l'esecuzione di codice JavaScript.
Versioni del prodotto interessate
| Prodotto | Versione | Piattaforma |
|---|---|---|
| Adobe Experience Manager |
6.5.5.0 e versioni precedenti |
Tutte |
| 6.4.8.1 e versioni precedenti |
Tutte |
|
| 6.3.3.8 e versioni precedenti |
Tutte |
|
| 6.2 SP1-CFP20 e versioni precedenti |
Tutte |
|
| Componente aggiuntivo AEM Forms |
AEM Forms Service Pack 5 e versioni precedenti |
Tutte |
Soluzione
Adobe classifica questi aggiornamenti in base ai seguenti livelli di priorità e consiglia agli utenti interessati di aggiornare la propria installazione alla versione più recente:
Prodotto |
Versione |
Piattaforma |
Priorità |
Disponibilità |
|---|---|---|---|---|
Adobe Experience Manager (AEM) |
6.5.6.0 |
Tutte |
2 |
Note sulla versione AEM 6.5 Service Pack |
6.4.8.2 |
Tutte |
2 |
AEM 6.4 - Note sulla versione del pacchetto di correzioni cumulative |
|
| Componente aggiuntivo AEM Forms |
AEM Forms Service Pack 6 |
Tutte |
2 |
AEM Forms Release |
Nota:
Adobe Experience Manager 6.5.6.0 è un aggiornamento importante che include nuove funzioni, miglioramenti fondamentali richiesti dai clienti e miglioramenti a livello di prestazioni, stabilità e sicurezza rilasciati a partire dalla versione 6.5 di aprile 2019. Può essere installato su Adobe Experience Manager 6.5.
Nota:
AEM Cumulative Fix Pack 6.4.8.2 è un aggiornamento importante che include diverse correzioni interne e per i clienti, poiché la disponibilità generale di AEM 6.4 Service Pack 8 (6.4.8.0) nel marzo 2020. AEM Cumulative Fix Pack 6.4.8.2 dipende da AEM 6.4 Service Pack 8. Pertanto, è necessario installare il pacchetto AEM cumulativo di correzioni 6.4.8.2 dopo aver installato AEM 6.4 Service Pack 8.
Nota:
Per ricevere assistenza sulle versioni di AEM precedenti, gli utenti possono contattare l'Assistenza clienti Adobe.
Dettagli della vulnerabilità
| Categoria della vulnerabilità |
Impatto della vulnerabilità |
Gravità |
Codice CVE |
Versioni interessate |
|---|---|---|---|---|
| Vulnerabilità cross-site scripting (memorizzate) |
Esecuzione arbitraria di JavaScript nel browser |
Critica |
CVE-2020-9732 | AEM Forms SP5 e versioni precedenti |
| Esecuzione con privilegi non necessari |
Divulgazione di informazioni riservate | Importante |
CVE-2020-9733 |
AEM 6.5.5.0 e versioni precedenti AEM 6.4.8.1 e versioni precedenti |
| Vulnerabilità cross-site scripting (memorizzate) |
Esecuzione arbitraria di JavaScript nel browser |
Critica |
CVE-2020-9734 |
AEM Forms SP5 e versioni precedenti |
| Vulnerabilità cross-site scripting (memorizzate) |
Esecuzione arbitraria di JavaScript nel browser |
Importante |
CVE-2020-9735 |
AAEM 6.5.5.0 e versioni precedenti AEM 6.4.8.1 e versioni precedenti AEM 6.3.3.8 e versioni precedenti AEM 6.2 SP1-CFP20 e versioni precedenti |
| Vulnerabilità cross-site scripting (memorizzate) |
Esecuzione arbitraria di JavaScript nel browser |
Importante |
CVE-2020-9736 |
AEM 6.5.5.0 e versioni precedenti AEM 6.4.8.1 e versioni precedenti AEM 6.3.3.8 e versioni precedenti AEM 6.2 SP1-CFP20 e versioni precedenti |
| Vulnerabilità cross-site scripting (memorizzate) |
Esecuzione arbitraria di JavaScript nel browser |
Importante |
CVE-2020-9737 |
AEM 6.5.5.0 e versioni precedenti AEM 6.4.8.1 e versioni precedenti AEM 6.3.3.8 e versioni precedenti AEM 6.2 SP1-CFP20 e versioni precedenti |
| Vulnerabilità cross-site scripting (memorizzate) |
Esecuzione arbitraria di JavaScript nel browser |
Importante |
CVE-2020-9738 |
AEM 6.5.5.0 e versioni precedenti AEM 6.4.8.1 e versioni precedenti AEM 6.3.3.8 e versioni precedenti AEM 6.2 SP1-CFP20 e versioni precedenti |
| Vulnerabilità cross-site scripting (memorizzate) |
Esecuzione arbitraria di JavaScript nel browser |
Critica |
CVE-2020-9740 |
AEM 6.5.5.0 e versioni precedenti AEM 6.4.8.1 e versioni precedenti AEM 6.3.3.8 e versioni precedenti AEM 6.2 SP1-CFP20 e versioni precedenti |
| Vulnerabilità cross-site scripting (memorizzate) |
Esecuzione arbitraria di JavaScript nel browser |
Critica |
CVE-2020-9741 |
AEM Forms SP5 e versioni precedenti |
| vulnerabilità cross-site scripting (riflesso) |
Esecuzione arbitraria di JavaScript nel browser |
Critica |
CVE-2020-9742 |
AEM 6.5.5.0 e versioni precedenti AEM 6.4.8.1 e versioni precedenti AEM 6.3.3.8 e versioni precedenti |
| Iniezione HTML |
Inserimento arbitrario di HTML nel browser |
Importante |
CVE-2020-9743 |
AEM 6.5.5.0 e versioni precedenti AEM 6.4.8.1 e versioni precedenti AEM 6.3.3.8 e versioni precedenti AEM 6.2 SP1-CFP20 e versioni precedenti |
Aggiornamenti alle dipendenze
|
Dipendenza |
Impatto della vulnerabilità |
Versioni interessate |
|
Handlebars.js |
Esecuzione arbitraria di JavaScript nel browser |
AEM 6.5.5.0 e versioni precedenti AEM 6.4.8.1 e versioni precedenti AEM 6.3.3.8 e versioni precedenti AEM 6.2 SP1-CFP20 e versioni precedenti |
|
Lodash.js (rimosso da AEM) |
Inquinamento da prototipi |
AEM 6.5.5.0 e versioni precedenti AEM 6.4.8.1 e versioni precedenti AEM 6.3.3.8 e versioni precedenti AEM 6.2 SP1-CFP20 e versioni precedenti |
|
Log4j |
Deserializzazione di dati non affidabili |
AEM 6.5.5.0 e versioni precedenti AEM 6.4.8.1 e versioni precedenti AEM 6.3.3.8 e versioni precedenti AEM 6.2 SP1-CFP20 e versioni precedenti |
|
Dom4j |
Aggiunta dell'entità esterna XXE (Xml eXternal Entity) |
AEM 6.5.5.0 e versioni precedenti AEM 6.4.8.1 e versioni precedenti AEM 6.3.3.8 e versioni precedenti AEM 6.2 SP1-CFP20 e versioni precedenti |
