Бюллетень безопасности Adobe

Поиск

Последнее обновление 21 мая 2021 г.

Обновления безопасности для Adobe Experience Manager | APSB20-56

Идентификатор бюллетеня	Дата публикации	Приоритет
APSB20-56	8 сентября 2020 г	2

Сводка

Компания Adobe выпустила обновления для Adobe Experience Manager (AEM) и дополнительного пакета AEM Forms. В этих обновлениях устранены уязвимости, которые классифицируются как критические и важные.При успешном использовании эта уязвимость могла привести к выполнению произвольного сценария JavaScript в браузере.

Затрагиваемые версии продуктов

Продукт	Версия	Платформа
Adobe Experience Manager	6.5.5.0 и более ранние версии	Все
	6.4.8.1 и более ранние версии	Все
	6.3.3.8 и более ранние версии	Все
	6.2 SP1-CFP20 и более ранние версии	Все
Дополнение для AEM Forms	AEM Forms с пакетом обновления 5 и более ранние версии	Все

Решение

Компания Adobe категоризирует эти обновления при помощи следующих рейтингов приоритета и рекомендует пользователям обновлять установленное программное обеспечение до последних версий:

Продукт	Версия	Платформа	Приоритет	Доступность
Adobe Experience Manager (AEM)	6.5.6.0	Все	2	Заметки о выпуске пакета обновления для AEM 6.5
6.4.8.2	Все	2	Заметки о выпуске накопительного пакета исправлений для AEM 6.4
Дополнение для AEM Forms	AEM Forms с пакетом обновления 6	Все	2	Выпуски AEM Forms

Продукт

Версия

Платформа

Приоритет

Доступность

Adobe Experience Manager (AEM)

6.5.6.0

Все

Заметки о выпуске пакета обновления для AEM 6.5  

6.4.8.2

Все

Заметки о выпуске накопительного пакета исправлений для AEM 6.4  

Дополнение для AEM Forms

AEM Forms с пакетом обновления 6

Все

Выпуски AEM Forms

Примечание.

Adobe Experience Manager 6.5.6.0 — это важное обновление, которое содержит новые функции, основные улучшения, запрошенные заказчиками, а также улучшения в области производительности, стабильности и безопасности, которые были выпущены с момента появления общедоступной версии 6.5 в апреле 2019 г.Это обновление можно устанавливать поверх Adobe Experience Manager 6.5.

Примечание.

Накопительный пакет исправлений AEM 6.4.8.2 — это важное обновление, которое содержит несколько внутренних исправлений и исправлений по запросу заказчиков, которые были внесены с момента появления общедоступной версии AEM 6.4 с пакетом обновления 8 (6.4.8.0) в марте 2020 г. Для установки накопительного пакета исправлений AEM 6.4.8.2 требуется AEM 6.4 с пакетом обновления 8. Поэтому накопительный пакет исправлений AEM 6.4.8.2 необходимо устанавливать после установки AEM 6.4 с пакетом обновления 8.

Примечание.

Для получения помощи с AEM версий 6.3 и 6.2 обратитесь в отдел обслуживания клиентов компании Adobe.

Сведения об уязвимости

Категория уязвимости	Влияние уязвимости	Серьезность	Номер CVE	Затронутые версии
Межсайтовый скриптинг (сохраненный)	Выполнение произвольного сценария JavaScript в браузере	Критическая	CVE-2020-9732	AEM Forms с пакетом обновления 5 и более ранние версии
Выполнение с ненужными привилегиями	Раскрытие конфиденциальной информации	Важная	CVE-2020-9733	AEM 6.5.5.0 и более ранние версии AEM 6.4.8.1 и более ранние версии
Межсайтовый скриптинг (сохраненный)	Выполнение произвольного сценария JavaScript в браузере	Критическая	CVE-2020-9734	AEM Forms с пакетом обновления 5 и более ранние версии
Межсайтовый скриптинг (сохраненный)	Выполнение произвольного сценария JavaScript в браузере	Важная	CVE-2020-9735	AAEM 6.5.5.0 и более ранние версии AEM 6.4.8.1 и более ранние версии AEM 6.3.3.8 и более ранние версии AEM 6.2 SP1-CFP20 и более ранние версии
Межсайтовый скриптинг (сохраненный)	Выполнение произвольного сценария JavaScript в браузере	Важная	CVE-2020-9736	AEM 6.5.5.0 и более ранние версии AEM 6.4.8.1 и более ранние версии AEM 6.3.3.8 и более ранние версии AEM 6.2 SP1-CFP20 и более ранние версии
Межсайтовый скриптинг (сохраненный)	Выполнение произвольного сценария JavaScript в браузере	Важная	CVE-2020-9737	AEM 6.5.5.0 и более ранние версии AEM 6.4.8.1 и более ранние версии AEM 6.3.3.8 и более ранние версии AEM 6.2 SP1-CFP20 и более ранние версии
Межсайтовый скриптинг (сохраненный)	Выполнение произвольного сценария JavaScript в браузере	Важная	CVE-2020-9738	AEM 6.5.5.0 и более ранние версии AEM 6.4.8.1 и более ранние версии AEM 6.3.3.8 и более ранние версии AEM 6.2 SP1-CFP20 и более ранние версии
Межсайтовый скриптинг (сохраненный)	Выполнение произвольного сценария JavaScript в браузере	Критическая	CVE-2020-9740	AEM 6.5.5.0 и более ранние версии AEM 6.4.8.1 и более ранние версии AEM 6.3.3.8 и более ранние версии AEM 6.2 SP1-CFP20 и более ранние версии
Межсайтовый скриптинг (сохраненный)	Выполнение произвольного сценария JavaScript в браузере	Критическая	CVE-2020-9741	AEM Forms с пакетом обновления 5 и более ранние версии
Межсайтовый скриптинг (отраженный)	Выполнение произвольного сценария JavaScript в браузере	Критическая	CVE-2020-9742	AEM 6.5.5.0 и более ранние версии AEM 6.4.8.1 и более ранние версии AEM 6.3.3.8 и более ранние версии
Внедрение HTML-файла	Внедрение произвольного HTML-файла в браузере	Важная	CVE-2020-9743	AEM 6.5.5.0 и более ранние версии AEM 6.4.8.1 и более ранние версии AEM 6.3.3.8 и более ранние версии AEM 6.2 SP1-CFP20 и более ранние версии

Обновления для зависимостей

Зависимость	Влияние уязвимости	Затронутые версии
Handlebars.js	Выполнение произвольного сценария JavaScript в браузере	AEM 6.5.5.0 и более ранние версии AEM 6.4.8.1 и более ранние версии AEM 6.3.3.8 и более ранние версии AEM 6.2 SP1-CFP20 и более ранние версии
Lodash.js (удалена из AEM)	Засорение прототипов	AEM 6.5.5.0 и более ранние версии AEM 6.4.8.1 и более ранние версии AEM 6.3.3.8 и более ранние версии AEM 6.2 SP1-CFP20 и более ранние версии
Log4j	Десериализация ненадежных данных	AEM 6.5.5.0 и более ранние версии AEM 6.4.8.1 и более ранние версии AEM 6.3.3.8 и более ранние версии AEM 6.2 SP1-CFP20 и более ранние версии
Dom4j	Вставка внешнего элемента XML (XXE)	AEM 6.5.5.0 и более ранние версии AEM 6.4.8.1 и более ранние версии AEM 6.3.3.8 и более ранние версии AEM 6.2 SP1-CFP20 и более ранние версии