6.5.6
6.4.9
6.3.4
CVE-2020-9742は、Adobe Experience Manager (AEM) Inboxモジュールにおけるクロスサイトスクリプティング(XSS)脆弱性です。この脆弱性は、攻撃者が悪意のあるスクリプトをAEMインスタンスに保存し、他のユーザーのブラウザで実行することを可能にします。影響を受けるバージョンは、AEM 6.5.5.0以下、6.4.8.1以下、および6.3.3.8以下です。Adobeは、影響を受けるバージョンから最新バージョンへのアップグレードを推奨しています。
このXSS脆弱性を悪用すると、攻撃者は被害者のブラウザ内で任意のJavaScriptコードを実行できます。これにより、Cookieの窃取、セッションハイジャック、リダイレクト、および悪意のあるWebサイトへの誘導など、さまざまな攻撃が可能になります。特に、AEMのAuthor権限を持つユーザーが攻撃されると、システム全体への影響が広がる可能性があります。攻撃者は、被害者のアカウントを乗っ取り、機密情報にアクセスしたり、システム設定を改ざんしたりする可能性があります。この脆弱性は、AEMを大規模なエンタープライズ環境で使用している組織にとって、重大なリスクとなります。
CVE-2020-9742は、2020年9月10日に公開されました。現時点で、この脆弱性を悪用した具体的な攻撃事例は確認されていませんが、XSS脆弱性は一般的に悪用される可能性が高いため、早急な対応が必要です。CISAのKEVリストには登録されていません。この脆弱性は、他のXSS脆弱性と類似しており、攻撃者による悪用が懸念されます。
Organizations heavily reliant on Adobe Experience Manager for content management and digital asset management are at significant risk. Specifically, deployments utilizing the Inbox module and granting 'Author' privileges to a large number of users are particularly vulnerable. Shared hosting environments where multiple AEM instances share resources could also be affected, potentially allowing an attacker to compromise multiple instances through a single vulnerability.
• other / web:
curl -I 'https://<aem_server>/inbox/calendar?field=<malicious_script>' | grep -i 'content-type: text/html'• other / web:
grep -i '<script>alert("XSS")</script>' /var/log/apache2/access.log• other / web:
grep -i '<script>alert("XSS")</script>' /var/log/apache2/error.logdisclosure
published
エクスプロイト状況
EPSS
0.87% (75% パーセンタイル)
CVSS ベクトル
この脆弱性への主な対策は、影響を受けるAEMバージョンから、Adobeが提供する修正バージョンへのアップグレードです。アップグレードがすぐに実行できない場合は、入力検証を強化し、出力エンコードを適切に実装することで、攻撃のリスクを軽減できます。また、Webアプリケーションファイアウォール(WAF)を使用して、悪意のあるスクリプトの実行をブロックすることも有効です。AEMのセキュリティ設定を定期的に見直し、最小限の権限の原則を適用することも重要です。アップグレード後、AEMインスタンスでXSS攻撃がないか、徹底的にテストしてください。
現在のバージョンに応じて、Adobe Experience Managerを6.5.5.0、6.4.8.1、または6.3.3.8より後のバージョンにアップデートしてください。これにより、Inboxモジュールの保存型XSS脆弱性が修正されます。
脆弱性分析と重要アラートをメールでお届けします。
CVE-2020-9742は、Adobe Experience Manager (AEM) Inboxモジュールに存在するクロスサイトスクリプティング(XSS)脆弱性です。攻撃者は、Author権限を持つユーザーがInboxカレンダー機能に関連するフィールドに悪意のあるスクリプトを保存できるため、被害者のブラウザでスクリプトが実行される可能性があります。
はい、影響があります。AEM 6.5.5.0以下、6.4.8.1以下、6.3.3.8以下のバージョンが影響を受けます。攻撃者は、Cookieの窃取、セッションハイジャック、悪意のあるWebサイトへの誘導など、さまざまな攻撃を実行する可能性があります。
影響を受けるAEMバージョンから、Adobeが提供する修正バージョンへのアップグレードが推奨されます。アップグレードがすぐに実行できない場合は、入力検証の強化やWAFの導入などの対策を講じてください。
現時点で、この脆弱性を悪用した具体的な攻撃事例は確認されていませんが、XSS脆弱性は一般的に悪用される可能性が高いため、早急な対応が必要です。
Adobe Security Bulletin: https://www.adobe.com/security/bulletin/9742.aspx を参照してください。