Plateforme
java
Composant
aem-forms
Corrigé dans
6.5.6
6.4.9
Une vulnérabilité de type Cross-Site Scripting (XSS) stockée a été découverte dans Adobe AEM Forms. Cette faille permet à des utilisateurs disposant des privilèges 'Author' d'injecter des scripts malveillants dans les champs associés aux composants Forms. L'exécution de ces scripts dans le navigateur d'une victime peut entraîner le vol d'informations sensibles ou la prise de contrôle de son compte. Les versions affectées sont les versions 6.5.5.0 et antérieures, ainsi que 6.4.8.2 et antérieures. Adobe recommande de mettre à jour vers une version corrigée.
L'impact de cette vulnérabilité est significatif. Un attaquant peut exploiter cette faille pour exécuter du code JavaScript arbitraire dans le contexte du navigateur de l'utilisateur. Cela peut permettre le vol de cookies de session, l'usurpation d'identité de l'utilisateur, la redirection vers des sites malveillants ou même la modification du contenu affiché sur la page. Dans un environnement AEM Forms, où les formulaires sont souvent utilisés pour collecter des informations sensibles, cette vulnérabilité peut compromettre la confidentialité et l'intégrité des données des utilisateurs. L'attaquant pourrait, par exemple, injecter un script qui vole les identifiants de connexion ou modifie les données soumises par l'utilisateur avant qu'elles ne soient traitées par le système.
Cette vulnérabilité a été rendue publique le 10 septembre 2020. Il n'y a pas d'indications d'une exploitation active à grande échelle à ce jour. Bien qu'il n'y ait pas de Proof of Concept (PoC) largement diffusé, la nature de la vulnérabilité XSS la rend potentiellement exploitable par des attaquants expérimentés. Elle n'est pas répertoriée sur le KEV (Know Exploited Vulnerabilities) de CISA au moment de la rédaction.
Organizations heavily reliant on Adobe AEM Forms for document management and workflows are at significant risk. Specifically, deployments with a large number of users granted 'Author' privileges are particularly vulnerable. Environments that haven't implemented robust input validation and output encoding practices are also at increased risk.
• java / server: Monitor AEM Forms logs for suspicious activity related to Forms component interactions. Look for unusual JavaScript code being stored in fields.
grep -i 'script' /path/to/aem/logs/error.log• generic web: Use a WAF to monitor for XSS attempts targeting Forms components. Configure rules to block common XSS patterns. • generic web: Check response headers for the presence of unexpected JavaScript code.
curl -I https://your-aem-instance/forms/vulnerable-form | grep Content-Typedisclosure
patch
Statut de l'Exploit
EPSS
0.48% (percentile 65%)
Vecteur CVSS
La mitigation principale consiste à mettre à jour Adobe AEM Forms vers une version corrigée. Adobe a publié des correctifs pour résoudre cette vulnérabilité. En attendant la mise à jour, il est possible de limiter l'impact en restreignant les privilèges des utilisateurs 'Author' et en appliquant des politiques de sécurité strictes pour la validation des entrées utilisateur. Il est également recommandé de surveiller attentivement les journaux d'accès et d'erreurs pour détecter toute activité suspecte. Des règles WAF (Web Application Firewall) peuvent être configurées pour bloquer les requêtes contenant des scripts potentiellement malveillants. Après la mise à jour, vérifiez l'absence de scripts injectés en effectuant des tests de pénétration sur les formulaires.
Mettez à jour AEM Forms vers une version ultérieure à 6.5.5.0 ou 6.4.8.1, selon le cas, pour atténuer la vulnérabilité XSS stockée. Consultez la note de sécurité Adobe pour plus de détails et des instructions de mise à jour spécifiques.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2020-9741 is a critical stored XSS vulnerability in Adobe AEM Forms versions 6.5.5.0 and below, and 6.4.8.2 and below. It allows attackers with 'Author' privileges to inject malicious scripts.
If you are using Adobe AEM Forms versions 6.5.5.0 or below, or 6.4.8.2 or below, you are potentially affected by this vulnerability. Check Adobe's security advisory for details.
The recommended fix is to upgrade to a patched version of Adobe AEM Forms. Consult the official Adobe security advisory for specific version details and upgrade instructions.
While there's no confirmed active exploitation, the availability of public PoC code suggests a potential risk. Proactive mitigation is recommended.
You can find the official Adobe security advisory for CVE-2020-9741 on the Adobe Security Bulletin website: https://www.adobe.com/security/cve/CVE-2020-9741.html
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier pom.xml et nous te dirons instantanément si tu es affecté.