Platform
adobe
Component
adobe-experience-manager
Opgelost in
6.5.6
6.4.9
6.3.4
6.2.1
CVE-2020-9740 is een kritieke stored Cross-Site Scripting (XSS) kwetsbaarheid in Adobe Experience Manager. Deze kwetsbaarheid stelt aanvallers in staat om kwaadaardige scripts in de Design Importer op te slaan, waardoor potentieel schadelijke code kan worden uitgevoerd in de browsers van gebruikers. De kwetsbaarheid treft versies van Adobe Experience Manager tot en met 6.5.5.0, 6.4.8.1, 6.3.3.8 en 6.2 SP1-CFP20. Een upgrade naar versie 6.5.6 is vereist om deze kwetsbaarheid te verhelpen.
Een succesvolle exploitatie van CVE-2020-9740 kan leiden tot de uitvoering van willekeurige JavaScript-code in de context van de getroffen gebruiker. Dit kan worden gebruikt om sessiecookies te stelen, gebruikers om te leiden naar kwaadaardige websites, of om de website te defacen. Aangezien de kwetsbaarheid vereist dat de aanvaller 'Author'-rechten heeft, is de impact beperkt tot gebruikers met deze privileges. De ernst van de kwetsbaarheid wordt verhoogd door de mogelijkheid om de kwetsbaarheid te gebruiken om toegang te krijgen tot gevoelige informatie of om verdere aanvallen uit te voeren op het systeem.
Deze kwetsbaarheid is openbaar bekend en er zijn waarschijnlijk reeds proof-of-concept exploits beschikbaar. Er is geen informatie beschikbaar over actieve campagnes die deze kwetsbaarheid uitbuiten, maar de kritieke ernst en de wijdverspreide implementatie van Adobe Experience Manager maken het een aantrekkelijk doelwit voor aanvallers. De kwetsbaarheid is gepubliceerd op 2020-09-10.
Organizations heavily reliant on Adobe Experience Manager for content management, particularly those with large numbers of users with 'Author' privileges, are at significant risk. Environments with legacy AEM configurations or those lacking robust input validation practices are especially vulnerable. Shared hosting environments utilizing AEM also present a heightened risk due to the potential for cross-tenant exploitation.
• linux / server:
journalctl -u adobe-aem -g 'Design Importer' | grep -i 'script' • generic web:
curl -I <aem_url>/design-importer/ | grep -i 'content-type: javascript'disclosure
patch
Exploit Status
EPSS
0.48% (65% percentiel)
CVSS-vector
De primaire mitigatie voor CVE-2020-9740 is het upgraden van Adobe Experience Manager naar versie 6.5.6 of hoger. Indien een directe upgrade niet mogelijk is, kan het beperken van de rechten van gebruikers met 'Author'-toegang helpen om de impact te verminderen. Controleer de Design Importer op verdachte content en implementeer een Web Application Firewall (WAF) om XSS-aanvallen te detecteren en te blokkeren. Na de upgrade, controleer de logs op verdachte activiteiten en verifieer dat de kwetsbaarheid is verholpen door te proberen een script in de Design Importer op te slaan en te controleren of dit niet wordt uitgevoerd.
Werk Adobe Experience Manager bij naar een versie later dan 6.5.5.0, 6.4.8.1, 6.3.3.8 en 6.2 SP1-CFP20. Dit zal de stored XSS kwetsbaarheid in de Design Importer component oplossen.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2020-9740 is een kritieke stored XSS-kwetsbaarheid in Adobe Experience Manager die kwaadaardige scripts toestaat via de Design Importer.
Ja, als u een versie van Adobe Experience Manager gebruikt tot en met 6.5.5.0, 6.4.8.1, 6.3.3.8 of 6.2 SP1-CFP20, bent u kwetsbaar.
Upgrade naar Adobe Experience Manager versie 6.5.6 of hoger om deze kwetsbaarheid te verhelpen.
Hoewel er geen bevestigde actieve campagnes zijn, is de kwetsbaarheid kritiek en een aantrekkelijk doelwit voor aanvallers.
U kunt het officiële Adobe advisory vinden op de Adobe Security Bulletin pagina.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.