Questo articolo tratta alcune vulnerabilità recenti e vecchie che sono state recentemente segnalate in AEM. Nota che la maggior parte delle vulnerabilità identificate erano problemi noti per il prodotto AEM e l’attenuazione è stata precedentemente identificata, è disponibile una nuova versione del dispatcher per le nuove vulnerabilità. L'Adobe esorta inoltre i clienti a completare la AEM lista di controllo della sicurezza e a seguire le linee guida pertinenti.
Azione richiesta
AEM le distribuzioni devono iniziare a utilizzare la versione più recente di Dispatcher.
Le regole di sicurezza del dispatcher devono essere applicate in base alla configurazione consigliata.
Vulnerabilità del filtro URL che potrebbe essere utilizzata per aggirare le regole del dispatcher - CVE-2016-0957
Questo problema è stato risolto in una versione precedente di Dispatcher, ma ora si consiglia di installare la versione più recente di Dispatcher (4.3.1) e di seguire la configurazione consigliata di Dispatcher.
Esposizione all'utilizzo del disco per utenti anonimi
Questo problema è stato risolto per AEM 6.1 e versioni successive, perché AEM 6.0 le autorizzazioni predefinite possono essere modificate in modo da essere più restrittive.
Accesso a CRX Explorer sulle istanze di produzione
La gestione dell'accesso a CRX Explorer è già inclusa nella Lista di controllo sicurezza, CRX Explorer deve essere rimosso dall'autore di produzione e pubblicato e il controllo dello stato di sicurezza lo segnala se non rimosso.
