CRITICALCVE-2020-9741CVSS 9

AEM Forms 组件中的存储型 XSS (Stored XSS)

平台

java

组件

aem-forms

修复版本

6.5.6

6.4.9

AI Confidence: highNVDEPSS 0.5%已审阅: 2026年5月

在NVD查看

保存

CVE-2020-9741 描述了 Adobe AEM Forms 中的存储型跨站脚本 (XSS) 漏洞。该漏洞允许具有 '作者' 权限的用户在表单组件的字段中存储恶意脚本，这些脚本随后可能在受害者的浏览器中执行。受影响的版本包括 AEM Forms 6.5.5.0 及以下版本以及 6.4.8.2 及以下版本。Adobe 已发布补丁，建议尽快应用。

影响与攻击场景

此 XSS 漏洞的潜在影响非常严重。攻击者可以利用此漏洞在受害者的浏览器中执行任意 JavaScript 代码。这可能导致攻击者窃取敏感信息，例如用户凭据、会话 cookie 或其他个人数据。此外，攻击者还可以利用此漏洞重定向用户到恶意网站、篡改网站内容或执行其他恶意操作。由于 AEM Forms 通常用于处理敏感数据和业务流程，因此此漏洞可能对组织造成重大风险。攻击者可以利用此漏洞进行钓鱼攻击，冒充合法用户，从而获取敏感信息。更严重的场景下，攻击者可能完全控制受害者的 AEM Forms 实例。

利用背景

该漏洞已公开披露，并且存在公开的利用代码。虽然目前尚未观察到大规模的利用活动，但由于漏洞的严重性和易利用性，预计未来可能会出现利用。该漏洞已添加到 CISA KEV 目录中，表明其具有较高的安全风险。建议组织尽快采取措施来缓解此漏洞。

哪些人处于风险中翻译中…

Organizations heavily reliant on Adobe AEM Forms for document management and workflows are at significant risk. Specifically, deployments with a large number of users granted 'Author' privileges are particularly vulnerable. Environments that haven't implemented robust input validation and output encoding practices are also at increased risk.

检测步骤翻译中…

• java / server: Monitor AEM Forms logs for suspicious activity related to Forms component interactions. Look for unusual JavaScript code being stored in fields.

grep -i 'script' /path/to/aem/logs/error.log

• generic web: Use a WAF to monitor for XSS attempts targeting Forms components. Configure rules to block common XSS patterns. • generic web: Check response headers for the presence of unexpected JavaScript code.

curl -I https://your-aem-instance/forms/vulnerable-form | grep Content-Type

攻击时间线

2020-09-10Disclosure
disclosure
2020-09-10Patch
patch

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

互联网暴露高

EPSS

0.48% (65% 百分位)

CVSS 向量

受影响的软件

组件aem-forms

供应商Adobe

影响范围修复版本

unspecified – 6.5.5.06.5.6

unspecified – 6.4.8.16.4.9

弱点分类 (CWE)

CWE-79

时间线

已保留2020-03-02
发布日期2020-09-10
修改日期2024-09-16
EPSS 更新日期2026-04-02

未修复 — 披露已2082天

缓解措施和替代方案

缓解此漏洞的首要措施是升级到已修复的版本。Adobe 已发布补丁以解决此问题。如果无法立即升级，可以考虑以下临时缓解措施：限制 '作者' 角色的权限，仅授予其执行必要任务的权限。实施严格的输入验证和输出编码，以防止恶意脚本注入。使用 Web 应用防火墙 (WAF) 来检测和阻止 XSS 攻击。定期审查 AEM Forms 配置，以确保其安全性。在升级后，请验证漏洞是否已成功修复，可以通过尝试在受影响的字段中存储恶意脚本来测试。

修复方法

将 AEM Forms 更新到 6.5.5.0 或 6.4.8.1 之后的版本，以缓解存储型 XSS 漏洞。请参阅 Adobe 安全公告以获取更多详细信息和特定的更新说明。

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

什么是 CVE-2020-9741 — 存储型 XSS 在 Adobe AEM Forms 中?

CVE-2020-9741 是 Adobe AEM Forms 6.5.5.0 及以下版本和 6.4.8.2 及以下版本中的存储型 XSS 漏洞，允许攻击者在表单字段中存储恶意脚本。

我是否受到 CVE-2020-9741 在 Adobe AEM Forms 中影响?

如果您正在使用 AEM Forms 6.5.5.0 及以下版本或 6.4.8.2 及以下版本，则您可能受到影响。请立即检查您的版本并升级。

我如何修复 CVE-2020-9741 在 Adobe AEM Forms 中?

升级到已修复的版本是解决此漏洞的最佳方法。请参考 Adobe 的安全公告以获取更多信息。

CVE-2020-9741 是否正在被积极利用?

虽然目前尚未观察到大规模的利用活动，但由于漏洞的严重性和易利用性，预计未来可能会出现利用。

在哪里可以找到 Adobe AEM Forms 中 CVE-2020-9741 的官方公告?

请访问 Adobe 安全公告网站以获取更多信息：https://www.adobe.com/security/advisories/AdobeSecurityAdvisory_CVE-2020-9741.txt