Plateforme
adobe
Composant
adobe-experience-manager
Corrigé dans
6.5.6
6.4.9
6.3.4
6.2.1
La vulnérabilité CVE-2020-9740 est une faille de Cross-Site Scripting (XSS) stockée présente dans Adobe Experience Manager. Cette faille permet à un attaquant d'injecter des scripts malveillants dans les champs associés à l'outil Design Importer, affectant les versions 6.5.5.0 et antérieures, 6.4.8.1 et antérieures, 6.3.3.8 et antérieures et 6.2 SP1-CFP20 et antérieures. Une fois exploité, ce script peut être exécuté dans le navigateur d'une victime, compromettant potentiellement la confidentialité et l'intégrité des données. La mise à jour vers la version 6.5.6 corrige cette vulnérabilité.
Cette vulnérabilité XSS stockée permet à un attaquant d'injecter du code JavaScript malveillant dans Adobe Experience Manager via l'outil Design Importer. Les utilisateurs ayant les privilèges d'auteur peuvent exploiter cette faille pour stocker ces scripts, qui seront ensuite exécutés dans le navigateur de tout utilisateur accédant à la page contenant le champ compromis. L'impact peut être significatif, allant du vol de cookies et d'informations sensibles à la redirection vers des sites malveillants ou à la modification du contenu du site web. Un attaquant pourrait également utiliser cette vulnérabilité pour lancer des attaques de phishing ciblées contre les utilisateurs d'Adobe Experience Manager, en leur faisant croire qu'ils interagissent avec une page légitime.
Cette vulnérabilité a été rendue publique le 10 septembre 2020. Bien qu'il n'y ait pas de rapports d'exploitation active à grande échelle, la nature critique de la vulnérabilité et la large adoption d'Adobe Experience Manager en font une cible potentielle pour les attaquants. La présence d'une vulnérabilité XSS stockée, combinée aux privilèges d'auteur, augmente considérablement le risque d'exploitation. Il est conseillé de surveiller attentivement les systèmes Adobe Experience Manager pour détecter toute activité suspecte.
Organizations heavily reliant on Adobe Experience Manager for content management, particularly those with large numbers of users with 'Author' privileges, are at significant risk. Environments with legacy AEM configurations or those lacking robust input validation practices are especially vulnerable. Shared hosting environments utilizing AEM also present a heightened risk due to the potential for cross-tenant exploitation.
• linux / server:
journalctl -u adobe-aem -g 'Design Importer' | grep -i 'script' • generic web:
curl -I <aem_url>/design-importer/ | grep -i 'content-type: javascript'disclosure
patch
Statut de l'Exploit
EPSS
0.48% (percentile 65%)
Vecteur CVSS
La solution la plus efficace pour corriger CVE-2020-9740 est de mettre à jour Adobe Experience Manager vers la version 6.5.6 ou supérieure. Si la mise à jour n'est pas immédiatement possible, des mesures d'atténuation temporaires peuvent être mises en place. Il est recommandé de désactiver temporairement l'outil Design Importer ou de restreindre l'accès aux champs où les scripts peuvent être stockés. L'implémentation de politiques de sécurité de contenu (CSP) peut également aider à atténuer l'impact de cette vulnérabilité en limitant les sources de scripts autorisées à s'exécuter dans le navigateur. Après la mise à jour, vérifiez l'intégrité des fichiers système et examinez les journaux d'accès pour détecter toute activité suspecte.
Mettez à jour Adobe Experience Manager vers une version ultérieure à 6.5.5.0, 6.4.8.1, 6.3.3.8 et 6.2 SP1-CFP20. Cela corrigera la vulnérabilité XSS stockée dans le composant Design Importer.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2020-9740 est une vulnérabilité de Cross-Site Scripting (XSS) stockée dans Adobe Experience Manager qui permet à un attaquant d'injecter du code malveillant.
Si vous utilisez Adobe Experience Manager versions 6.5.5.0 et antérieures, 6.4.8.1 et antérieures, 6.3.3.8 et antérieures ou 6.2 SP1-CFP20 et antérieures, vous êtes potentiellement affecté.
La solution recommandée est de mettre à jour Adobe Experience Manager vers la version 6.5.6 ou supérieure. En attendant, appliquez des mesures d'atténuation comme la désactivation de l'outil Design Importer.
Bien qu'il n'y ait pas de rapports d'exploitation active à grande échelle, la vulnérabilité est critique et pourrait être exploitée.
Consultez l'avis de sécurité Adobe : https://helpx.adobe.com/security/product-cve/CVE-2020-9740.html
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.