Plataforma
adobe
Componente
adobe-experience-manager
Corregido en
6.5.6
6.4.9
6.3.4
6.2.1
La vulnerabilidad CVE-2020-9740 es una falla de XSS almacenada (Stored Cross-Site Scripting) que afecta a Adobe Experience Manager. Esta vulnerabilidad permite a atacantes con privilegios de 'Autor' inyectar scripts maliciosos en campos asociados al Design Importer. La ejecución de estos scripts en el navegador de una víctima puede resultar en el robo de información sensible o la toma de control de la sesión. Las versiones afectadas son 6.5.5.0 y anteriores, 6.4.8.1 y anteriores, 6.3.3.8 y anteriores, y 6.2 SP1-CFP20 y anteriores. Se recomienda actualizar a la versión 6.5.6 para solucionar esta vulnerabilidad.
Un atacante que explote esta vulnerabilidad puede inyectar código JavaScript malicioso en campos del Design Importer dentro de Adobe Experience Manager. Dado que los atacantes necesitan privilegios de 'Autor' para explotar la vulnerabilidad, el impacto se limita a usuarios con este nivel de acceso. Sin embargo, una vez que el script se ha inyectado, se ejecuta en el navegador de cualquier usuario que acceda a la página afectada, independientemente de sus privilegios. Esto podría permitir al atacante robar cookies de sesión, redirigir a los usuarios a sitios web maliciosos, o incluso ejecutar código arbitrario en el contexto del navegador de la víctima. La gravedad de la vulnerabilidad se debe a la posibilidad de ejecución de código en el navegador del usuario, lo que puede llevar a la comprometer la confidencialidad, integridad y disponibilidad de los datos.
CVE-2020-9740 fue publicado el 10 de septiembre de 2020. No se ha reportado explotación activa en la naturaleza, pero la alta puntuación CVSS (9.0) indica un riesgo significativo. No se ha añadido a la lista KEV de CISA. La disponibilidad de un PoC público podría aumentar el riesgo de explotación.
Organizations heavily reliant on Adobe Experience Manager for content management, particularly those with large numbers of users with 'Author' privileges, are at significant risk. Environments with legacy AEM configurations or those lacking robust input validation practices are especially vulnerable. Shared hosting environments utilizing AEM also present a heightened risk due to the potential for cross-tenant exploitation.
• linux / server:
journalctl -u adobe-aem -g 'Design Importer' | grep -i 'script' • generic web:
curl -I <aem_url>/design-importer/ | grep -i 'content-type: javascript'disclosure
patch
Estado del Exploit
EPSS
0.48% (65% percentil)
Vector CVSS
La mitigación principal para CVE-2020-9740 es actualizar Adobe Experience Manager a la versión 6.5.6 o superior, donde la vulnerabilidad ha sido corregida. Si la actualización a la versión 6.5.6 no es inmediatamente posible, se recomienda restringir el acceso a los campos del Design Importer a usuarios autorizados. Además, se pueden implementar reglas en un Web Application Firewall (WAF) para detectar y bloquear intentos de inyección de código JavaScript. Monitorear los logs de la aplicación en busca de patrones sospechosos de inyección de scripts también puede ayudar a detectar y responder a posibles ataques. Después de la actualización, confirme que la vulnerabilidad ha sido resuelta revisando los logs del sistema y realizando pruebas de penetración.
Actualice Adobe Experience Manager a una versión posterior a las versiones 6.5.5.0, 6.4.8.1, 6.3.3.8 y 6.2 SP1-CFP20. Esto solucionará la vulnerabilidad XSS almacenada en el componente Design Importer.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2020-9740 es una vulnerabilidad XSS almacenada en Adobe Experience Manager que permite a usuarios con privilegios de 'Autor' inyectar scripts maliciosos en campos del Design Importer.
Si está utilizando Adobe Experience Manager versiones 6.5.5.0 y anteriores, 6.4.8.1 y anteriores, 6.3.3.8 y anteriores, o 6.2 SP1-CFP20 y anteriores, es vulnerable a esta vulnerabilidad.
La solución es actualizar Adobe Experience Manager a la versión 6.5.6 o superior.
Aunque no se ha reportado explotación activa, la alta puntuación CVSS indica un riesgo significativo y la disponibilidad de un PoC podría aumentar el riesgo.
Puede encontrar la advisory oficial de Adobe en su sitio web de seguridad: https://www.adobe.com/security/advisories/apsa54976.html
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.