Идентификатор бюллетеня
Последнее обновление
21 мая 2021 г.
Обновления безопасности для Adobe Experience Manager | APSB20-56
|
|
Дата публикации |
Приоритет |
|---|---|---|
|
APSB20-56 |
8 сентября 2020 г |
2 |
Сводка
Компания Adobe выпустила обновления для Adobe Experience Manager (AEM) и дополнительного пакета AEM Forms. В этих обновлениях устранены уязвимости, которые классифицируются как критические и важные.При успешном использовании эта уязвимость могла привести к выполнению произвольного сценария JavaScript в браузере.
Затрагиваемые версии продуктов
| Продукт | Версия | Платформа |
|---|---|---|
| Adobe Experience Manager |
6.5.5.0 и более ранние версии |
Все |
| 6.4.8.1 и более ранние версии |
Все |
|
| 6.3.3.8 и более ранние версии |
Все |
|
| 6.2 SP1-CFP20 и более ранние версии |
Все |
|
| Дополнение для AEM Forms |
AEM Forms с пакетом обновления 5 и более ранние версии |
Все |
Решение
Компания Adobe категоризирует эти обновления при помощи следующих рейтингов приоритета и рекомендует пользователям обновлять установленное программное обеспечение до последних версий:
Продукт |
Версия |
Платформа |
Приоритет |
Доступность |
|---|---|---|---|---|
Adobe Experience Manager (AEM) |
6.5.6.0 |
Все |
2 |
Заметки о выпуске пакета обновления для AEM 6.5 |
6.4.8.2 |
Все |
2 |
Заметки о выпуске накопительного пакета исправлений для AEM 6.4 |
|
| Дополнение для AEM Forms |
AEM Forms с пакетом обновления 6 |
Все |
2 |
Выпуски AEM Forms |
Примечание.
Adobe Experience Manager 6.5.6.0 — это важное обновление, которое содержит новые функции, основные улучшения, запрошенные заказчиками, а также улучшения в области производительности, стабильности и безопасности, которые были выпущены с момента появления общедоступной версии 6.5 в апреле 2019 г.Это обновление можно устанавливать поверх Adobe Experience Manager 6.5.
Примечание.
Накопительный пакет исправлений AEM 6.4.8.2 — это важное обновление, которое содержит несколько внутренних исправлений и исправлений по запросу заказчиков, которые были внесены с момента появления общедоступной версии AEM 6.4 с пакетом обновления 8 (6.4.8.0) в марте 2020 г. Для установки накопительного пакета исправлений AEM 6.4.8.2 требуется AEM 6.4 с пакетом обновления 8. Поэтому накопительный пакет исправлений AEM 6.4.8.2 необходимо устанавливать после установки AEM 6.4 с пакетом обновления 8.
Примечание.
Для получения помощи с AEM версий 6.3 и 6.2 обратитесь в отдел обслуживания клиентов компании Adobe.
Сведения об уязвимости
| Категория уязвимости |
Влияние уязвимости |
Серьезность |
Номер CVE |
Затронутые версии |
|---|---|---|---|---|
| Межсайтовый скриптинг (сохраненный) |
Выполнение произвольного сценария JavaScript в браузере |
Критическая |
CVE-2020-9732 | AEM Forms с пакетом обновления 5 и более ранние версии |
| Выполнение с ненужными привилегиями |
Раскрытие конфиденциальной информации | Важная |
CVE-2020-9733 |
AEM 6.5.5.0 и более ранние версии AEM 6.4.8.1 и более ранние версии |
| Межсайтовый скриптинг (сохраненный) |
Выполнение произвольного сценария JavaScript в браузере |
Критическая |
CVE-2020-9734 |
AEM Forms с пакетом обновления 5 и более ранние версии |
| Межсайтовый скриптинг (сохраненный) |
Выполнение произвольного сценария JavaScript в браузере |
Важная |
CVE-2020-9735 |
AAEM 6.5.5.0 и более ранние версии AEM 6.4.8.1 и более ранние версии AEM 6.3.3.8 и более ранние версии AEM 6.2 SP1-CFP20 и более ранние версии |
| Межсайтовый скриптинг (сохраненный) |
Выполнение произвольного сценария JavaScript в браузере |
Важная |
CVE-2020-9736 |
AEM 6.5.5.0 и более ранние версии AEM 6.4.8.1 и более ранние версии AEM 6.3.3.8 и более ранние версии AEM 6.2 SP1-CFP20 и более ранние версии |
| Межсайтовый скриптинг (сохраненный) |
Выполнение произвольного сценария JavaScript в браузере |
Важная |
CVE-2020-9737 |
AEM 6.5.5.0 и более ранние версии AEM 6.4.8.1 и более ранние версии AEM 6.3.3.8 и более ранние версии AEM 6.2 SP1-CFP20 и более ранние версии |
| Межсайтовый скриптинг (сохраненный) |
Выполнение произвольного сценария JavaScript в браузере |
Важная |
CVE-2020-9738 |
AEM 6.5.5.0 и более ранние версии AEM 6.4.8.1 и более ранние версии AEM 6.3.3.8 и более ранние версии AEM 6.2 SP1-CFP20 и более ранние версии |
| Межсайтовый скриптинг (сохраненный) |
Выполнение произвольного сценария JavaScript в браузере |
Критическая |
CVE-2020-9740 |
AEM 6.5.5.0 и более ранние версии AEM 6.4.8.1 и более ранние версии AEM 6.3.3.8 и более ранние версии AEM 6.2 SP1-CFP20 и более ранние версии |
| Межсайтовый скриптинг (сохраненный) |
Выполнение произвольного сценария JavaScript в браузере |
Критическая |
CVE-2020-9741 |
AEM Forms с пакетом обновления 5 и более ранние версии |
| Межсайтовый скриптинг (отраженный) |
Выполнение произвольного сценария JavaScript в браузере |
Критическая |
CVE-2020-9742 |
AEM 6.5.5.0 и более ранние версии AEM 6.4.8.1 и более ранние версии AEM 6.3.3.8 и более ранние версии |
| Внедрение HTML-файла |
Внедрение произвольного HTML-файла в браузере |
Важная |
CVE-2020-9743 |
AEM 6.5.5.0 и более ранние версии AEM 6.4.8.1 и более ранние версии AEM 6.3.3.8 и более ранние версии AEM 6.2 SP1-CFP20 и более ранние версии |
Обновления для зависимостей
|
Зависимость |
Влияние уязвимости |
Затронутые версии |
|
Handlebars.js |
Выполнение произвольного сценария JavaScript в браузере |
AEM 6.5.5.0 и более ранние версии AEM 6.4.8.1 и более ранние версии AEM 6.3.3.8 и более ранние версии AEM 6.2 SP1-CFP20 и более ранние версии |
|
Lodash.js (удалена из AEM) |
Засорение прототипов |
AEM 6.5.5.0 и более ранние версии AEM 6.4.8.1 и более ранние версии AEM 6.3.3.8 и более ранние версии AEM 6.2 SP1-CFP20 и более ранние версии |
|
Log4j |
Десериализация ненадежных данных |
AEM 6.5.5.0 и более ранние версии AEM 6.4.8.1 и более ранние версии AEM 6.3.3.8 и более ранние версии AEM 6.2 SP1-CFP20 и более ранние версии |
|
Dom4j |
Вставка внешнего элемента XML (XXE) |
AEM 6.5.5.0 и более ранние версии AEM 6.4.8.1 и более ранние версии AEM 6.3.3.8 и более ранние версии AEM 6.2 SP1-CFP20 и более ранние версии |