प्लेटफ़ॉर्म
other
घटक
aem-inbox-module
में ठीक किया गया
6.5.6
6.4.9
6.3.4
CVE-2020-9742 Adobe Experience Manager (AEM) के इनबॉक्स मॉड्यूल में एक संग्रहीत क्रॉस-साइट स्क्रिप्टिंग (XSS) भेद्यता है। यह भेद्यता हमलावरों को दुर्भावनापूर्ण स्क्रिप्ट संग्रहीत करने और उन्हें अन्य उपयोगकर्ताओं के ब्राउज़रों में निष्पादित करने की अनुमति देती है, जिससे संभावित रूप से संवेदनशील जानकारी का समझौता हो सकता है या उपयोगकर्ता को दुर्भावनापूर्ण वेबसाइटों पर पुनर्निर्देशित किया जा सकता है। यह भेद्यता AEM के संस्करण 6.5.5.0 और उससे कम, 6.4.8.1 और उससे कम, और 6.3.3.8 और उससे कम को प्रभावित करती है। Adobe ने इस भेद्यता के लिए एक पैच जारी किया है।
यह XSS भेद्यता हमलावरों को AEM इंस्टेंस पर अनधिकृत क्रियाएं करने की अनुमति दे सकती है। हमलावर पीड़ितों को दुर्भावनापूर्ण वेबसाइटों पर पुनर्निर्देशित कर सकते हैं, संवेदनशील जानकारी चुरा सकते हैं, या यहां तक कि सिस्टम पर नियंत्रण हासिल कर सकते हैं। 'लेखक' विशेषाधिकार वाले उपयोगकर्ता इनबॉक्स कैलेंडर सुविधा से जुड़े फ़ील्ड में दुर्भावनापूर्ण स्क्रिप्ट संग्रहीत करके इस भेद्यता का फायदा उठा सकते हैं। जब कोई पीड़ित इनबॉक्स कैलेंडर पेज खोलता है, तो स्क्रिप्ट निष्पादित हो जाएगी, जिससे हमलावर को पीड़ित के ब्राउज़र पर नियंत्रण मिल जाएगा। इस भेद्यता का उपयोग फ़िशिंग हमलों को लॉन्च करने, सत्र कुकीज़ चुराने या अन्य दुर्भावनापूर्ण गतिविधियों को करने के लिए किया जा सकता है।
CVE-2020-9742 को अभी तक सक्रिय रूप से शोषण करते हुए नहीं देखा गया है, लेकिन XSS भेद्यताओं की सामान्य प्रकृति के कारण, इसका शोषण किया जा सकता है। यह भेद्यता CISA KEV सूची में नहीं है। सार्वजनिक रूप से उपलब्ध प्रमाण-अवधारणा (PoC) मौजूद नहीं हैं, लेकिन XSS भेद्यताओं के लिए कई सामान्य शोषण तकनीकें हैं जिनका उपयोग इस भेद्यता का फायदा उठाने के लिए किया जा सकता है। NVD ने 2020-09-10 को इस भेद्यता को प्रकाशित किया।
Organizations heavily reliant on Adobe Experience Manager for content management and digital asset management are at significant risk. Specifically, deployments utilizing the Inbox module and granting 'Author' privileges to a large number of users are particularly vulnerable. Shared hosting environments where multiple AEM instances share resources could also be affected, potentially allowing an attacker to compromise multiple instances through a single vulnerability.
• other / web:
curl -I 'https://<aem_server>/inbox/calendar?field=<malicious_script>' | grep -i 'content-type: text/html'• other / web:
grep -i '<script>alert("XSS")</script>' /var/log/apache2/access.log• other / web:
grep -i '<script>alert("XSS")</script>' /var/log/apache2/error.logdisclosure
published
एक्सप्लॉइट स्थिति
EPSS
0.87% (75% शतमक)
CVSS वेक्टर
CVE-2020-9742 के लिए प्राथमिक शमन उपाय Adobe द्वारा जारी किए गए नवीनतम संस्करण में AEM को अपडेट करना है। यदि तत्काल अपग्रेड संभव नहीं है, तो इनबॉक्स कैलेंडर सुविधा के इनपुट फ़ील्ड को मान्य और सैनिटाइज़ करने के लिए वेब एप्लिकेशन फ़ायरवॉल (WAF) या प्रॉक्सी का उपयोग करें। इसके अतिरिक्त, 'लेखक' विशेषाधिकारों को सीमित करने और इनबॉक्स कैलेंडर सुविधा तक पहुंच को केवल उन उपयोगकर्ताओं तक सीमित करने पर विचार करें जिन्हें इसकी आवश्यकता है। नियमित सुरक्षा ऑडिट और भेद्यता स्कैनिंग भी संभावित कमजोरियों की पहचान करने और उन्हें कम करने में मदद कर सकते हैं। अपडेट के बाद, यह सुनिश्चित करने के लिए कि भेद्यता ठीक हो गई है, इनबॉक्स कैलेंडर सुविधा के साथ इंटरैक्ट करने वाले उपयोगकर्ताओं के ब्राउज़र में स्क्रिप्ट निष्पादन का परीक्षण करें।
अपने वर्तमान संस्करण के अनुसार, Adobe Experience Manager को 6.5.5.0, 6.4.8.1 या 6.3.3.8 के बाद के संस्करण में अपडेट करें। यह Inbox मॉड्यूल में संग्रहीत XSS भेद्यता को ठीक कर देगा।
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2020-9742 AEM के इनबॉक्स मॉड्यूल में एक संग्रहीत XSS भेद्यता है जो हमलावरों को दुर्भावनापूर्ण स्क्रिप्ट संग्रहीत करने और निष्पादित करने की अनुमति देती है।
यदि आप AEM के संस्करण 6.5.5.0 से नीचे, 6.4.8.1 से नीचे, या 6.3.3.8 से नीचे का उपयोग कर रहे हैं, तो आप प्रभावित हैं।
Adobe द्वारा जारी किए गए नवीनतम संस्करण में AEM को अपडेट करें।
CVE-2020-9742 को अभी तक सक्रिय रूप से शोषण करते हुए नहीं देखा गया है, लेकिन इसका शोषण किया जा सकता है।
आप Adobe सुरक्षा सलाहकार पर CVE-2020-9742 के लिए आधिकारिक सलाहकार पा सकते हैं: https://helpx.adobe.com/security/product-cve-list.html
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।