情報 ID
最終更新日 :
2021年4月28日
Adobe Experience Manager に関するセキュリティアップデート公開 | APSB20-56
|
|
公開日 |
優先度 |
|---|---|---|
|
APSB20-56 |
2020 年 9 月 8 日 |
2 |
要約
対象の製品バージョン
| 製品名 | バージョン | プラットフォーム |
|---|---|---|
| Adobe Experience Manager |
6.5.5.0 以前のバージョン |
すべて |
| 6.4.8.1 とそれ以前のバージョン |
すべて |
|
| 6.3.3.8 とそれ以前のバージョン |
すべて |
|
| 6.2 SP1-CFP20 以前のバージョン |
すべて |
|
| AEM Forms アドオン |
AEM Forms Service Pack 5 以前のバージョン |
すべて |
解決策
アドビは、これらのアップデートを次の優先度評価で分類し、対象製品をご利用のお客様に最新バージョンへのアップグレードをお勧めします。
製品名 |
バージョン |
プラットフォーム |
優先度 |
入手方法 |
|---|---|---|---|---|
Adobe Experience Manager (AEM) |
6.5.6.0 |
すべて |
2 |
AEM 6.5 Service Pack リリースノート |
6.4.8.2 |
すべて |
2 |
||
| AEM Forms アドオン |
AEM Forms Service Pack 6 |
すべて |
2 |
AEM Forms リリース |
注意:
Adobe Experience Manager 6.5.6.0 は、2019 年 4 月の 6.5 リリースの一般提供開始以降にリリースされた新機能、お客様から要望の多かった主要な機能強化、パフォーマンス、安定性、セキュリティの改善を含む重要なアップデートです。 Adobe Experience Manager 6.5 の上にインストールできます。
注意:
AEM Cumulative Fix Pack 6.4.8.2 は、2020 年 3 月に AEM 6.4 Service Pack 8 (6.4.8.0)が一般に公開されて以来の社内およびお客様向けの複数の修正を含む重要なアップデートです。AEM Cumulative Fix Pack 6.4.8.2 は、AEM 6.4 Service Pack 8 に依存します。 したがって、AEM 6.4 Service Pack 8 をインストール後に、AEM Cumulative Fix Pack 6.4.8.2 パッケージをインストールしてください。
注意:
AEM バージョン 6.3 および 6.2 のサポートについては、アドビカスタマケアにお問い合わせください。
脆弱性に関する詳細
| 脆弱性のカテゴリー |
脆弱性の影響 |
深刻度 |
CVE 番号 |
対象のバージョン |
|---|---|---|---|---|
| クロスサイトスクリプティング(保存) |
ブラウザーでの任意の JavaScript 実行 |
クリティカル |
CVE-2020-9732 | AEM Forms SP5 以前 |
| 不要な権限での実行 |
機密情報漏えい | 重要 |
CVE-2020-9733 |
AEM 6.5.5.0 以前 AEM 6.4.8.1 以前 |
| クロスサイトスクリプティング(保存) |
ブラウザーでの任意の JavaScript 実行 |
クリティカル |
CVE-2020-9734 |
AEM Forms SP5 以前 |
| クロスサイトスクリプティング(保存) |
ブラウザーでの任意の JavaScript 実行 |
重要 |
CVE-2020-9735 |
AEM 6.5.5.0 以前 AEM 6.4.8.1 以前 AEM 6.3.3.8 以前 AEM 6.2 SP1-CFP20 以前 |
| クロスサイトスクリプティング(保存) |
ブラウザーでの任意の JavaScript 実行 |
重要 |
CVE-2020-9736 |
AEM 6.5.5.0 以前 AEM 6.4.8.1 以前 AEM 6.3.3.8 以前 AEM 6.2 SP1-CFP20 以前 |
| クロスサイトスクリプティング(保存) |
ブラウザーでの任意の JavaScript 実行 |
重要 |
CVE-2020-9737 |
AEM 6.5.5.0 以前 AEM 6.4.8.1 以前 AEM 6.3.3.8 以前 AEM 6.2 SP1-CFP20 以前 |
| クロスサイトスクリプティング(保存) |
ブラウザーでの任意の JavaScript 実行 |
重要 |
CVE-2020-9738 |
AEM 6.5.5.0 以前 AEM 6.4.8.1 以前 AEM 6.3.3.8 以前 AEM 6.2 SP1-CFP20 以前 |
| クロスサイトスクリプティング(保存) |
ブラウザーでの任意の JavaScript 実行 |
クリティカル |
CVE-2020-9740 |
AEM 6.5.5.0 以前 AEM 6.4.8.1 以前 AEM 6.3.3.8 以前 AEM 6.2 SP1-CFP20 以前 |
| クロスサイトスクリプティング(保存) |
ブラウザーでの任意の JavaScript 実行 |
クリティカル |
CVE-2020-9741 |
AEM Forms SP5 以前 |
| クロスサイトスクリプティング(反映) |
ブラウザーでの任意の JavaScript 実行 |
クリティカル |
CVE-2020-9742 |
AEM 6.5.5.0 以前 AEM 6.4.8.1 以前 AEM 6.3.3.8 以前 |
| HTML インジェクション |
ブラウザーでの任意の HTML インジェクション |
重要 |
CVE-2020-9743 |
AEM 6.5.5.0 以前 AEM 6.4.8.1 以前 AEM 6.3.3.8 以前 AEM 6.2 SP1-CFP20 以前 |
依存関係の更新
|
依存性 |
脆弱性の影響 |
対象のバージョン |
|
Handlebars.js |
ブラウザーでの任意の JavaScript 実行 |
AEM 6.5.5.0 以前 AEM 6.4.8.1 以前 AEM 6.3.3.8 以前 AEM 6.2 SP1-CFP20 以前 |
|
Lodash.js (AEMから削除) |
プロトタイプ汚染 |
AEM 6.5.5.0 以前 AEM 6.4.8.1 以前 AEM 6.3.3.8 以前 AEM 6.2 SP1-CFP20 以前 |
|
Log4j |
信頼されないデータのデシリアライゼーション |
AEM 6.5.5.0 以前 AEM 6.4.8.1 以前 AEM 6.3.3.8 以前 AEM 6.2 SP1-CFP20 以前 |
|
Dom4j |
XXE (Xml eXternal Entity)インジェクション |
AEM 6.5.5.0 以前 AEM 6.4.8.1 以前 AEM 6.3.3.8 以前 AEM 6.2 SP1-CFP20 以前 |
