Plataforma
java
Componente
aem-forms
Corrigido em
6.5.6
6.4.9
Uma vulnerabilidade de Cross-Site Scripting (XSS) armazenada foi descoberta no Adobe Experience Manager (AEM) Forms. Esta falha permite que usuários com privilégios de 'Autor' injetem scripts maliciosos em campos associados ao componente Forms. A execução desses scripts no navegador de um usuário pode levar à roubo de informações sensíveis ou a outras ações maliciosas. As versões afetadas incluem 6.5.5.0 e anteriores, bem como 6.4.8.2 e anteriores. A Adobe lançou correções para mitigar este risco.
A exploração bem-sucedida desta vulnerabilidade permite que um atacante execute código JavaScript arbitrário no contexto do navegador da vítima. Isso pode levar ao roubo de cookies de sessão, redirecionamento para sites maliciosos, modificação do conteúdo da página e, potencialmente, acesso a dados confidenciais armazenados no AEM Forms. O impacto é amplificado se o atacante conseguir comprometer uma conta de usuário com privilégios elevados, permitindo o acesso a informações ainda mais sensíveis e a capacidade de realizar ações administrativas. A natureza armazenada da vulnerabilidade significa que o ataque pode ser persistente, afetando todos os usuários que acessam a página comprometida.
Esta vulnerabilidade foi divulgada publicamente em 10 de setembro de 2020. Não há evidências públicas de exploração ativa em larga escala, mas a natureza crítica da vulnerabilidade e a facilidade de exploração a tornam um alvo atraente para atacantes. A ausência de um KEV listing indica que, até o momento, não foi considerada uma ameaça iminente pelo CISA.
Organizations heavily reliant on Adobe AEM Forms for document management and workflows are at significant risk. Specifically, deployments with a large number of users granted 'Author' privileges are particularly vulnerable. Environments that haven't implemented robust input validation and output encoding practices are also at increased risk.
• java / server: Monitor AEM Forms logs for suspicious activity related to Forms component interactions. Look for unusual JavaScript code being stored in fields.
grep -i 'script' /path/to/aem/logs/error.log• generic web: Use a WAF to monitor for XSS attempts targeting Forms components. Configure rules to block common XSS patterns. • generic web: Check response headers for the presence of unexpected JavaScript code.
curl -I https://your-aem-instance/forms/vulnerable-form | grep Content-Typedisclosure
patch
Status do Exploit
EPSS
0.48% (percentil 65%)
Vetor CVSS
A mitigação primária é atualizar o AEM Forms para uma versão corrigida. Consulte o site da Adobe para obter as versões específicas que resolvem esta vulnerabilidade. Como uma medida temporária, a restrição de privilégios de 'Autor' a apenas usuários confiáveis pode reduzir a superfície de ataque. Implementar políticas de segurança de conteúdo (CSP) pode ajudar a mitigar o impacto de scripts XSS, restringindo as fontes de onde o navegador pode carregar recursos. Monitore os logs do AEM Forms em busca de atividades suspeitas, como tentativas de injeção de código ou modificações inesperadas nos campos do Forms.
Atualize o AEM Forms para uma versão posterior a 6.5.5.0 ou 6.4.8.1, conforme apropriado, para mitigar a vulnerabilidade XSS armazenado. Consulte o boletim de segurança da Adobe para obter mais detalhes e instruções específicas de atualização.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2020-9741 is a critical stored XSS vulnerability in Adobe AEM Forms versions 6.5.5.0 and below, and 6.4.8.2 and below. It allows attackers with 'Author' privileges to inject malicious scripts.
If you are using Adobe AEM Forms versions 6.5.5.0 or below, or 6.4.8.2 or below, you are potentially affected by this vulnerability. Check Adobe's security advisory for details.
The recommended fix is to upgrade to a patched version of Adobe AEM Forms. Consult the official Adobe security advisory for specific version details and upgrade instructions.
While there's no confirmed active exploitation, the availability of public PoC code suggests a potential risk. Proactive mitigation is recommended.
You can find the official Adobe security advisory for CVE-2020-9741 on the Adobe Security Bulletin website: https://www.adobe.com/security/cve/CVE-2020-9741.html
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo pom.xml e descubra na hora se você está afetado.