Cet article traite de quelques vulnérabilités anciennes et récentes récemment signalées dans AEM. Notez que la plupart des vulnérabilités identifiées étaient des problèmes connus pour le produit AEM et la limitation ont été précédemment identifiés. Une nouvelle version de Dispatcher est disponible pour les nouvelles vulnérabilités. Adobe demande également aux clients de compléter la Liste de contrôle de sécurité AEM et de suivre les directives appropriées.
Action requise
AEM déploiements doivent commencer à utiliser la dernière version de Dispatcher.
Les règles de sécurité du Dispatcher doivent être appliquées conformément à la configuration recommandée.
Vulnérabilité de contournement du filtre d’URL pouvant être utilisée pour contourner les règles du Dispatcher - CVE-2016-0957
Ce problème a été corrigé dans une ancienne version de Dispatcher, mais il est désormais recommandé d’installer la dernière version de Dispatcher (4.3.1) et de suivre la configuration recommandée pour Dispatcher.
Exposition de l’utilisation du disque pour les utilisateurs anonymes
Ce problème a été résolu pour AEM 6.1 et versions ultérieures. Pour AEM 6.0, les autorisations d’usine peuvent être modifiées pour être plus restrictives.
Accès à l’explorateur CRX sur les instances de production
La gestion de l’accès à l’Explorateur CRX est déjà traitée dans la liste de contrôle de sécurité, l’Explorateur CRX doit être supprimé de l’auteur et de la publication en production et le contrôle d’intégrité de la sécurité le signale s’il n’est pas supprimé.
