CVE-2020-9740: XSS in Adobe Experience Manager

यह XSS भेद्यता हमलावरों को Adobe Experience Manager वेबसाइटों पर मनमाना जावास्क्रिप्ट कोड निष्पादित करने की अनुमति देती है। इसका उपयोग उपयोगकर्ता सत्र कुकीज़ चुराने, संवेदनशील जानकारी पुनर्निर्देशित करने या प्रदर्शित करने, या वेबसाइट की सामग्री को विकृत करने के लिए किया जा सकता है। चूंकि भेद्यता 'लेखक' विशेषाधिकार वाले उपयोगकर्ताओं को लक्षित करती है, इसलिए हमलावर उन उपयोगकर्ताओं के खातों को लक्षित कर सकते हैं जिनके पास वेबसाइट की सामग्री को संशोधित करने की क्षमता है। एक सफल शोषण वेबसाइट की अखंडता को गंभीर रूप से समझौता कर सकता है और उपयोगकर्ताओं के लिए सुरक्षा जोखिम पैदा कर सकता है। यह भेद्यता विशेष रूप से खतरनाक है क्योंकि यह डिज़ाइन इम्पोर्टर सुविधा के माध्यम से संग्रहीत की जा सकती है, जिसका अर्थ है कि दुर्भावनापूर्ण स्क्रिप्ट लंबे समय तक वेबसाइट पर बनी रह सकती हैं, जिससे कई उपयोगकर्ताओं को खतरा हो सकता है।

Organizations heavily reliant on Adobe Experience Manager for content management, particularly those with large numbers of users with 'Author' privileges, are at significant risk. Environments with legacy AEM configurations or those lacking robust input validation practices are especially vulnerable. Shared hosting environments utilizing AEM also present a heightened risk due to the potential for cross-tenant exploitation.

• linux / server:

journalctl -u adobe-aem -g 'Design Importer' | grep -i 'script' 

• generic web:

curl -I <aem_url>/design-importer/ | grep -i 'content-type: javascript'

1. 2020-09-10Disclosure

   disclosure

2. 2020-09-10Patch

   patch

1. आरक्षित2020-03-02
2. प्रकाशित2020-09-10
3. संशोधित2024-09-16
4. EPSS अद्यतन2026-04-02

CVE-2020-9740 के प्रभाव को कम करने के लिए, Adobe Experience Manager को संस्करण 6.5.6 या बाद के संस्करण में तुरंत अपडेट करना आवश्यक है। यदि तत्काल अपडेट संभव नहीं है, तो एक अस्थायी समाधान के रूप में, डिज़ाइन इम्पोर्टर सुविधा के उपयोग को सीमित करने या इनपुट को मान्य करने और सैनिटाइज करने के लिए वेब एप्लिकेशन फ़ायरवॉल (WAF) नियमों को लागू करने पर विचार करें। WAF नियमों को दुर्भावनापूर्ण स्क्रिप्ट को संग्रहीत करने से रोकने के लिए डिज़ाइन इम्पोर्टर फ़ील्ड में सभी उपयोगकर्ता इनपुट को फ़िल्टर करना चाहिए। इसके अतिरिक्त, नियमित सुरक्षा ऑडिट और भेद्यता स्कैनिंग यह सुनिश्चित करने में मदद कर सकती है कि कोई भी ज्ञात भेद्यता तुरंत ठीक हो जाए। अपडेट करने के बाद, यह सत्यापित करें कि डिज़ाइन इम्पोर्टर फ़ील्ड में संग्रहीत स्क्रिप्ट अब निष्पादित नहीं हो रही है।