Plataforma
other
Componente
aem-inbox-module
Corregido en
6.5.6
6.4.9
6.3.4
La vulnerabilidad CVE-2020-9742 es una vulnerabilidad de XSS almacenada (stored XSS) que afecta al módulo AEM Inbox. Esta falla permite a usuarios con privilegios de 'Autor' inyectar scripts maliciosos en campos asociados a la función de calendario de Inbox. La ejecución de estos scripts en el navegador de una víctima puede resultar en el robo de información sensible o la toma de control de la sesión.
Un atacante puede explotar esta vulnerabilidad para inyectar código JavaScript malicioso en los campos del calendario Inbox dentro de AEM. Cuando un usuario con privilegios de 'Autor' guarda un elemento con este script, este se almacena en la base de datos. Posteriormente, cuando otro usuario (o incluso el mismo autor) visualiza el calendario Inbox, el script se ejecuta en su navegador. Esto permite al atacante robar cookies de sesión, redirigir al usuario a sitios maliciosos, o incluso ejecutar código arbitrario en el contexto del navegador de la víctima. El impacto es significativo, ya que la ejecución del código se realiza en el contexto del usuario, lo que puede comprometer la seguridad de toda la aplicación AEM.
La vulnerabilidad CVE-2020-9742 fue publicada el 10 de septiembre de 2020. No se ha reportado explotación activa en campañas dirigidas, pero la naturaleza de XSS almacenada la convierte en un objetivo atractivo para atacantes. Dada la disponibilidad de la vulnerabilidad y su impacto potencial, es importante aplicar las mitigaciones lo antes posible. No se ha añadido a KEV a la fecha.
Organizations heavily reliant on Adobe Experience Manager for content management and digital asset management are at significant risk. Specifically, deployments utilizing the Inbox module and granting 'Author' privileges to a large number of users are particularly vulnerable. Shared hosting environments where multiple AEM instances share resources could also be affected, potentially allowing an attacker to compromise multiple instances through a single vulnerability.
• other / web:
curl -I 'https://<aem_server>/inbox/calendar?field=<malicious_script>' | grep -i 'content-type: text/html'• other / web:
grep -i '<script>alert("XSS")</script>' /var/log/apache2/access.log• other / web:
grep -i '<script>alert("XSS")</script>' /var/log/apache2/error.logdisclosure
published
Estado del Exploit
EPSS
0.87% (75% percentil)
Vector CVSS
La mitigación principal para CVE-2020-9742 es actualizar a una versión de AEM que haya sido parcheada para corregir esta vulnerabilidad. Adobe ha publicado actualizaciones para las versiones afectadas. Si la actualización inmediata no es posible, se recomienda implementar controles de seguridad adicionales, como la validación y el saneamiento de todas las entradas de usuario en el módulo Inbox. Además, se pueden configurar políticas de seguridad de contenido (CSP) para restringir la ejecución de scripts desde fuentes no confiables. Monitorear los registros de AEM en busca de patrones sospechosos de inyección de scripts también puede ayudar a detectar y responder a posibles ataques.
Actualice Adobe Experience Manager a una versión posterior a 6.5.5.0, 6.4.8.1 o 6.3.3.8, según corresponda a su versión actual. Esto solucionará la vulnerabilidad XSS almacenada en el módulo Inbox.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2020-9742 is a critical stored XSS vulnerability in Adobe Experience Manager's Inbox module, allowing attackers with 'Author' privileges to inject malicious scripts into calendar fields, potentially leading to code execution.
You are affected if you are using AEM versions 6.5.5.0 and below, 6.4.8.1 and below, or 6.3.3.8 and below and have users with 'Author' privileges accessing the Inbox calendar feature.
As of now, there's no official patch. Mitigate by restricting access, implementing input validation, using a WAF, and temporarily disabling the Inbox calendar feature.
While no confirmed active campaigns are publicly known, the vulnerability's criticality and available PoCs suggest a high likelihood of exploitation.
Refer to the Adobe Security Bulletin for CVE-2020-9742: https://www.adobe.com/security/advisories/adv20-273.html
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.