XSS réfléchi dans le module AEM Inbox

L'impact de cette vulnérabilité est significatif. Un attaquant peut exploiter cette XSS stockée pour exécuter du code JavaScript arbitraire dans le contexte du navigateur de l'utilisateur. Cela peut permettre le vol de cookies de session, la redirection vers des sites malveillants, la modification du contenu affiché, ou même la prise de contrôle complète du compte de l'utilisateur. Le risque est exacerbé par le fait que les utilisateurs 'Author' ont des privilèges élevés au sein de l'environnement AEM, ce qui pourrait permettre à un attaquant d'accéder à des données sensibles ou de compromettre d'autres systèmes connectés. Bien qu'il n'y ait pas de rapport d'exploitation publique direct, la nature de la vulnérabilité XSS la rend potentiellement exploitable par des acteurs malveillants.

Organizations heavily reliant on Adobe Experience Manager for content management and digital asset management are at significant risk. Specifically, deployments utilizing the Inbox module and granting 'Author' privileges to a large number of users are particularly vulnerable. Shared hosting environments where multiple AEM instances share resources could also be affected, potentially allowing an attacker to compromise multiple instances through a single vulnerability.

• other / web:

curl -I 'https://<aem_server>/inbox/calendar?field=<malicious_script>' | grep -i 'content-type: text/html'

• other / web:

 grep -i '<script>alert("XSS")</script>' /var/log/apache2/access.log

• other / web:

 grep -i '<script>alert("XSS")</script>' /var/log/apache2/error.log

1. 2020-09-10Disclosure

   disclosure

2. 2020-09-10Discovery

   published

1. Réservé2020-03-02
2. Publiée2020-09-10
3. Modifiée2024-09-17
4. EPSS mis à jour2026-04-02

La mitigation principale consiste à mettre à jour AEM vers une version corrigée. Adobe a publié des correctifs pour les versions vulnérables. En attendant la mise à jour, des mesures d'atténuation peuvent être mises en place, telles que la désactivation des fonctionnalités de calendrier Inbox si elles ne sont pas essentielles, ou la mise en œuvre de politiques de sécurité de contenu (CSP) strictes pour limiter l'exécution de scripts provenant de sources non fiables. Il est également recommandé de surveiller attentivement les journaux d'accès et d'erreurs pour détecter toute activité suspecte. Après la mise à jour, vérifiez l'intégrité du système en effectuant des tests de pénétration pour confirmer que la vulnérabilité a été corrigée.