Platform
other
Component
aem-inbox-module
Opgelost in
6.5.6
6.4.9
6.3.4
CVE-2020-9742 beschrijft een stored Cross-Site Scripting (XSS) kwetsbaarheid in de AEM Inbox module. Deze kwetsbaarheid stelt aanvallers in staat om kwaadaardige scripts op te slaan in de AEM Inbox kalender, waardoor potentieel schadelijke code kan worden uitgevoerd in de browsers van andere gebruikers. De kwetsbaarheid treft Adobe Experience Manager (AEM) versies 6.5.5.0 en lager, 6.4.8.1 en lager, en 6.3.3.8 en lager. Een beveiligde versie is beschikbaar gesteld door Adobe.
Een succesvolle exploitatie van deze kwetsbaarheid kan leiden tot het stelen van sessiecookies, het uitvoeren van acties namens de gebruiker, of het omleiden van de gebruiker naar kwaadaardige websites. Aangezien de kwetsbaarheid vereist dat de aanvaller 'Author'-rechten heeft, is de impact vooral groot voor omgevingen waar deze rechten wijdverspreid zijn. De impact kan verder reiken als de aangevallen gebruiker toegang heeft tot gevoelige informatie of systemen, waardoor de aanvaller potentieel toegang kan krijgen tot een groter deel van de organisatie. Deze XSS-kwetsbaarheid kan vergelijkbare gevolgen hebben als andere XSS-aanvallen, waarbij de aanvaller de controle over de gebruikerservaring kan overnemen.
Deze kwetsbaarheid is openbaar bekend en de details zijn beschikbaar. Er zijn momenteel geen meldingen van actieve exploitatie in de wild, maar de kwetsbaarheid is ernstig genoeg om te worden aangepakt. De kwetsbaarheid is opgenomen in het CISA KEV catalogus. Er zijn geen publieke proof-of-concept exploits bekend op het moment van schrijven.
Organizations heavily reliant on Adobe Experience Manager for content management and digital asset management are at significant risk. Specifically, deployments utilizing the Inbox module and granting 'Author' privileges to a large number of users are particularly vulnerable. Shared hosting environments where multiple AEM instances share resources could also be affected, potentially allowing an attacker to compromise multiple instances through a single vulnerability.
• other / web:
curl -I 'https://<aem_server>/inbox/calendar?field=<malicious_script>' | grep -i 'content-type: text/html'• other / web:
grep -i '<script>alert("XSS")</script>' /var/log/apache2/access.log• other / web:
grep -i '<script>alert("XSS")</script>' /var/log/apache2/error.logdisclosure
published
Exploit Status
EPSS
0.87% (75% percentiel)
CVSS-vector
De primaire mitigatie is het upgraden van Adobe Experience Manager (AEM) naar een beveiligde versie. Adobe heeft beveiligde versies uitgebracht die deze kwetsbaarheid verhelpen. Indien een directe upgrade niet mogelijk is, overweeg dan tijdelijke maatregelen zoals het beperken van de 'Author'-rechten tot strikt noodzakelijke gebruikers en het implementeren van strenge inputvalidatie op alle velden die door gebruikers kunnen worden ingevoerd. Het implementeren van een Web Application Firewall (WAF) met XSS-detectie en -preventie kan ook helpen om aanvallen te blokkeren. Controleer de AEM-logboeken op verdachte patronen die wijzen op pogingen tot exploitatie.
Werk Adobe Experience Manager bij naar een versie later dan 6.5.5.0, 6.4.8.1 of 6.3.3.8, afhankelijk van uw huidige versie. Dit zal de opgeslagen XSS-kwetsbaarheid in de Inbox module verhelpen.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2020-9742 is a critical stored XSS vulnerability in Adobe Experience Manager's Inbox module, allowing attackers with 'Author' privileges to inject malicious scripts into calendar fields, potentially leading to code execution.
You are affected if you are using AEM versions 6.5.5.0 and below, 6.4.8.1 and below, or 6.3.3.8 and below and have users with 'Author' privileges accessing the Inbox calendar feature.
As of now, there's no official patch. Mitigate by restricting access, implementing input validation, using a WAF, and temporarily disabling the Inbox calendar feature.
While no confirmed active campaigns are publicly known, the vulnerability's criticality and available PoCs suggest a high likelihood of exploitation.
Refer to the Adobe Security Bulletin for CVE-2020-9742: https://www.adobe.com/security/advisories/adv20-273.html
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.