Plataforma
other
Componente
aem-inbox-module
Corrigido em
6.5.6
6.4.9
6.3.4
A vulnerabilidade CVE-2020-9742 é uma falha de Cross-Site Scripting (XSS) armazenada no módulo AEM Inbox. Essa falha permite que usuários com privilégios de 'Autor' injetem scripts maliciosos em campos associados ao calendário do Inbox. A execução desses scripts no navegador de outros usuários pode levar ao roubo de informações sensíveis ou à manipulação do comportamento da aplicação. As versões afetadas incluem 6.5.5.0 e anteriores, 6.4.8.1 e anteriores, e 6.3.3.8 e anteriores. Uma correção oficial está disponível.
Um atacante pode explorar essa vulnerabilidade para injetar scripts maliciosos no módulo AEM Inbox. Ao armazenar esses scripts em campos vulneráveis, o atacante pode induzir usuários com privilégios de 'Autor' a executar o código malicioso. Quando outros usuários acessam a página contendo o script injetado, o código é executado em seus navegadores, permitindo que o atacante roube cookies de sessão, redirecione usuários para sites maliciosos ou modifique o conteúdo da página. O impacto pode ser significativo, especialmente em ambientes onde o AEM é usado para gerenciar informações confidenciais ou para controlar o acesso a recursos críticos. A exploração bem-sucedida pode resultar em comprometimento completo da conta do usuário e acesso não autorizado a dados sensíveis.
A vulnerabilidade foi divulgada publicamente em 10 de setembro de 2020. Não há evidências de exploração ativa em larga escala no momento da redação. A vulnerabilidade está listada no NVD (National Vulnerability Database) e é considerada de alta criticidade devido ao seu CVSS score de 9.0. A ausência de um Proof of Concept (PoC) publicamente disponível pode dificultar a exploração, mas a complexidade da aplicação AEM pode permitir que atacantes experientes desenvolvam seus próprios exploits.
Organizations heavily reliant on Adobe Experience Manager for content management and digital asset management are at significant risk. Specifically, deployments utilizing the Inbox module and granting 'Author' privileges to a large number of users are particularly vulnerable. Shared hosting environments where multiple AEM instances share resources could also be affected, potentially allowing an attacker to compromise multiple instances through a single vulnerability.
• other / web:
curl -I 'https://<aem_server>/inbox/calendar?field=<malicious_script>' | grep -i 'content-type: text/html'• other / web:
grep -i '<script>alert("XSS")</script>' /var/log/apache2/access.log• other / web:
grep -i '<script>alert("XSS")</script>' /var/log/apache2/error.logdisclosure
published
Status do Exploit
EPSS
0.87% (percentil 75%)
Vetor CVSS
A mitigação primária é atualizar para uma versão corrigida do AEM. Consulte a documentação oficial da Adobe para obter instruções detalhadas sobre o processo de atualização. Se a atualização imediata não for possível, considere implementar medidas de proteção adicionais, como restringir o acesso ao módulo Inbox apenas a usuários autorizados e monitorar logs de auditoria em busca de atividades suspeitas. A implementação de uma Web Application Firewall (WAF) com regras para detectar e bloquear payloads XSS também pode ajudar a mitigar o risco. Verifique se as configurações de segurança do AEM estão otimizadas, incluindo a validação de entrada e a codificação de saída.
Atualize Adobe Experience Manager para uma versão posterior a 6.5.5.0, 6.4.8.1 ou 6.3.3.8, conforme apropriado para sua versão atual. Isso corrigirá a vulnerabilidade XSS armazenado no módulo Inbox.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2020-9742 is a critical stored XSS vulnerability in Adobe Experience Manager's Inbox module, allowing attackers with 'Author' privileges to inject malicious scripts into calendar fields, potentially leading to code execution.
You are affected if you are using AEM versions 6.5.5.0 and below, 6.4.8.1 and below, or 6.3.3.8 and below and have users with 'Author' privileges accessing the Inbox calendar feature.
As of now, there's no official patch. Mitigate by restricting access, implementing input validation, using a WAF, and temporarily disabling the Inbox calendar feature.
While no confirmed active campaigns are publicly known, the vulnerability's criticality and available PoCs suggest a high likelihood of exploitation.
Refer to the Adobe Security Bulletin for CVE-2020-9742: https://www.adobe.com/security/advisories/adv20-273.html
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.