Questo articolo tratta alcune vulnerabilità recenti e vecchie che sono state recentemente segnalate in AEM. Nota che la maggior parte delle vulnerabilità identificate erano problemi noti per il prodotto AEM e che la mitigazione era stata precedentemente identificata, è disponibile una nuova versione del dispatcher per le nuove vulnerabilità. Adobe invita inoltre i clienti a completare la Lista di controllo AEM per la sicurezza e a seguire le linee guida pertinenti.
Azione richiesta
Le implementazioni di AEM devono iniziare a utilizzare la versione più recente di Dispatcher.
Le regole di sicurezza del dispatcher devono essere applicate in base alla configurazione consigliata.
Vulnerabilità del filtro URL che potrebbe essere utilizzata per aggirare le regole del dispatcher - CVE-2016-0957
Questo problema è stato risolto in una versione precedente di Dispatcher, ma ora si consiglia di installare la versione più recente di Dispatcher (4.3.1) e di seguire la configurazione consigliata di Dispatcher.
Esposizione all'utilizzo del disco per utenti anonimi
Questo problema è stato risolto per AEM 6.1 e versioni successive; per AEM 6.0 le autorizzazioni predefinite possono essere modificate in modo da essere più restrittive.
Accesso a CRX Explorer sulle istanze di produzione
La gestione dell'accesso a CRX Explorer è già inclusa nella Lista di controllo sicurezza, CRX Explorer deve essere rimosso dall'autore di produzione e pubblicato e il controllo dello stato di sicurezza lo segnala se non rimosso.
