CRITICALCVE-2020-9741CVSS 9

AEM Forms コンポーネントにおける保存型 XSS

プラットフォーム

java

コンポーネント

aem-forms

修正版

6.5.6

6.4.9

AI Confidence: highNVDEPSS 0.5%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2020-9741は、Adobe AEM Formsにおいて発見された保存型クロスサイトスクリプティング（XSS）脆弱性です。この脆弱性は、攻撃者が悪意のあるスクリプトをFormsコンポーネントのフィールドに保存し、他のユーザーがそのページを開く際にスクリプトが実行されることを可能にします。影響を受けるバージョンは、AEM Forms 6.5.5.0以下および6.4.8.2以下です。Adobeは、最新バージョンへのアップデートを推奨しています。

影響と攻撃シナリオ

このXSS脆弱性は、攻撃者がAEM FormsのAuthor権限を持つユーザーになりすますことで、被害者のブラウザ上で任意のJavaScriptコードを実行できる可能性があります。これにより、攻撃者は機密情報を窃取したり、ユーザーを悪意のあるWebサイトにリダイレクトしたり、Webサイトの見た目を改ざんしたりすることが可能です。特に、機密情報を含むフォームデータを扱うAEM Formsを使用している場合、この脆弱性の影響は甚大です。攻撃者は、フォームの入力フィールドに悪意のあるスクリプトを注入し、ユーザーがフォームを送信した際にスクリプトが実行されるように仕向けられます。

悪用の状況

CVE-2020-9741は、2020年9月10日に公開されました。現時点では、この脆弱性を悪用した具体的な攻撃事例は報告されていませんが、XSS脆弱性は一般的に悪用される可能性が高いため、早急な対応が必要です。Adobeは、この脆弱性に関するセキュリティアドバイザリを発行しています。CISA KEVカタログへの登録状況は確認されていません。

リスク対象者翻訳中…

Organizations heavily reliant on Adobe AEM Forms for document management and workflows are at significant risk. Specifically, deployments with a large number of users granted 'Author' privileges are particularly vulnerable. Environments that haven't implemented robust input validation and output encoding practices are also at increased risk.

検出手順翻訳中…

• java / server: Monitor AEM Forms logs for suspicious activity related to Forms component interactions. Look for unusual JavaScript code being stored in fields.

grep -i 'script' /path/to/aem/logs/error.log

• generic web: Use a WAF to monitor for XSS attempts targeting Forms components. Configure rules to block common XSS patterns. • generic web: Check response headers for the presence of unexpected JavaScript code.

curl -I https://your-aem-instance/forms/vulnerable-form | grep Content-Type

攻撃タイムライン

2020-09-10Disclosure
disclosure
2020-09-10Patch
patch

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

EPSS

0.48% (65% パーセンタイル)

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントaem-forms

ベンダーAdobe

影響範囲修正版

unspecified – 6.5.5.06.5.6

unspecified – 6.4.8.16.4.9

弱点分類 (CWE)

CWE-79

タイムライン

予約済み2020-03-02
公開日2020-09-10
更新日2024-09-16
EPSS 更新日2026-04-02

未パッチ — 公開から2082日経過

緩和策と回避策

この脆弱性への主な対策は、AEM Formsを最新バージョンにアップデートすることです。Adobeは、脆弱性が修正されたバージョンをリリースしていますので、速やかにアップデートを実施してください。アップデートが困難な場合は、Formsコンポーネントの入力フィールドに対する入力検証を強化し、悪意のあるスクリプトの注入を防ぐための対策を講じる必要があります。また、Webアプリケーションファイアウォール（WAF）を導入し、XSS攻撃を検知・防御することも有効です。AEM Formsのセキュリティ設定を見直し、Author権限を持つユーザーの数を最小限に抑えることも重要です。アップデート後、AEM Formsのセキュリティ設定を再確認し、脆弱性が解消されていることを確認してください。

修正方法

脆弱性 XSS を軽減するために、AEM Forms を 6.5.5.0 以降または 6.4.8.1 以降のバージョンにアップデートしてください。詳細と具体的なアップデート手順については、Adobe セキュリティアドバイザリを参照してください。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2020-9741 — XSS in Adobe AEM Formsとは何ですか？

CVE-2020-9741は、Adobe AEM Forms 6.5.5.0以下、6.4.8.2以下のバージョンに存在する保存型XSS脆弱性です。攻撃者は悪意のあるスクリプトをFormsコンポーネントのフィールドに保存し、他のユーザーがそのページを開く際にスクリプトが実行される可能性があります。

CVE-2020-9741 in Adobe AEM Formsの影響を受けていますか？

AEM Formsのバージョンが6.5.5.0以下、または6.4.8.2以下の場合、この脆弱性の影響を受けています。最新バージョンへのアップデートを推奨します。

CVE-2020-9741 in Adobe AEM Formsを修正するにはどうすればよいですか？

AEM Formsを最新バージョンにアップデートしてください。アップデートが困難な場合は、入力検証の強化やWAFの導入などの対策を講じる必要があります。

CVE-2020-9741は積極的に悪用されていますか？

現時点では、この脆弱性を悪用した具体的な攻撃事例は報告されていませんが、XSS脆弱性は一般的に悪用される可能性が高いため、早急な対応が必要です。

CVE-2020-9741に関するAdobe AEM Formsの公式アドバイザリはどこで入手できますか？

Adobeのセキュリティアドバイザリページで確認できます。Adobe Security Bulletin: https://www.adobe.com/security/bulletin/cve-2020-9741.txt