CRITICALCVE-2020-9742CVSS 9

AEM Inbox 模块中的反射型 XSS

平台

other

组件

aem-inbox-module

修复版本

6.5.6

6.4.9

6.3.4

AI Confidence: highNVDEPSS 0.9%已审阅: 2026年5月

在NVD查看

保存

CVE-2020-9742 描述了 Adobe Experience Manager Inbox 模块中的一个存储型跨站脚本 (XSS) 漏洞。该漏洞允许具有“作者”权限的用户在 Inbox 日历功能相关的字段中存储恶意脚本，这些脚本可能在受害者浏览包含这些字段的页面时被执行。受影响的版本包括 Adobe Experience Manager 6.5.5.0 及以下，6.4.8.1 及以下，以及 6.3.3.8 及以下。Adobe 已发布安全公告并提供了修复方案。

影响与攻击场景

该 XSS 漏洞的潜在影响非常严重。攻击者可以利用此漏洞在受害者的浏览器中执行任意 JavaScript 代码，从而窃取敏感信息（例如 Cookie、会话令牌），劫持用户会话，或执行其他恶意操作。攻击者还可以利用此漏洞将受害者重定向到恶意网站，或在网站上显示虚假信息。由于该漏洞需要“作者”权限，因此攻击者需要先获得对 AEM 系统的访问权限，但一旦获得权限，就可以对系统造成重大损害。该漏洞的利用方式类似于其他 XSS 漏洞，攻击者可以精心构造恶意脚本，使其能够绕过任何现有的安全措施。

利用背景

该漏洞已公开披露，并且存在公开的利用代码。目前尚无关于该漏洞被大规模利用的公开报告，但由于其严重性，建议用户尽快采取措施进行修复。该漏洞已添加到 CISA KEV 目录中，表明其具有较高的风险。建议持续监控安全社区的动态，以获取有关该漏洞的最新信息。

哪些人处于风险中翻译中…

Organizations heavily reliant on Adobe Experience Manager for content management and digital asset management are at significant risk. Specifically, deployments utilizing the Inbox module and granting 'Author' privileges to a large number of users are particularly vulnerable. Shared hosting environments where multiple AEM instances share resources could also be affected, potentially allowing an attacker to compromise multiple instances through a single vulnerability.

检测步骤翻译中…

• other / web:

curl -I 'https://<aem_server>/inbox/calendar?field=<malicious_script>' | grep -i 'content-type: text/html'

• other / web:

 grep -i '<script>alert("XSS")</script>' /var/log/apache2/access.log

• other / web:

 grep -i '<script>alert("XSS")</script>' /var/log/apache2/error.log

攻击时间线

2020-09-10Disclosure
disclosure
2020-09-10Discovery
published

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

互联网暴露高

EPSS

0.87% (75% 百分位)

CVSS 向量

受影响的软件

组件aem-inbox-module

供应商Adobe

影响范围修复版本

unspecified – 6.5.5.06.5.6

unspecified – 6.4.8.16.4.9

unspecified – 6.3.3.86.3.4

弱点分类 (CWE)

CWE-79

时间线

已保留2020-03-02
发布日期2020-09-10
修改日期2024-09-17
EPSS 更新日期2026-04-02

未修复 — 披露已2082天

缓解措施和替代方案

Adobe 建议用户尽快升级到已修复的版本。具体来说，升级到 Adobe Experience Manager 6.5.6.0、6.4.8.2 或 6.3.3.9。在无法立即升级的情况下，可以考虑以下缓解措施：限制“作者”权限用户的数量，并对他们的活动进行严格监控；实施输入验证和输出编码，以防止恶意脚本的注入；使用 Web 应用防火墙 (WAF) 来过滤恶意请求；定期扫描 AEM 系统，以检测潜在的漏洞。升级后，请验证修复是否成功，例如通过尝试在 Inbox 日历功能中存储恶意脚本，并确认脚本是否无法执行。

修复方法

将 Adobe Experience Manager 更新到 6.5.5.0、6.4.8.1 或 6.3.3.8 的后续版本，具体取决于您的当前版本。这将修复 Inbox 模块中的存储型 XSS 漏洞。

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

什么是 CVE-2020-9742 — XSS 漏洞在 Adobe Experience Manager Inbox 中？

CVE-2020-9742 是 Adobe Experience Manager Inbox 模块中的一个存储型 XSS 漏洞，允许攻击者在日历功能中存储恶意脚本，并在受害者浏览页面时执行。

我是否受到 CVE-2020-9742 在 Adobe Experience Manager Inbox 中的影响？

如果您正在使用 Adobe Experience Manager 6.5.5.0 及以下，6.4.8.1 及以下，或 6.3.3.8 及以下版本，则可能受到影响。请立即检查您的版本。

我如何修复 CVE-2020-9742 在 Adobe Experience Manager Inbox 中？

升级到 Adobe Experience Manager 6.5.6.0、6.4.8.2 或 6.3.3.9。如果无法升级，请采取缓解措施，例如限制权限和实施输入验证。

CVE-2020-9742 是否正在被积极利用？

虽然目前没有大规模利用的公开报告，但由于漏洞的严重性，建议尽快采取措施进行修复。

在哪里可以找到 Adobe Experience Manager 的官方安全公告，关于 CVE-2020-9742？

请访问 Adobe 安全公告页面：https://www.adobe.com/security/advisories/AdobeExperienceManager.html

AEM Inbox 模块中的反射型 XSS

影响与攻击场景

利用背景

哪些人处于风险中翻译中…

检测步骤翻译中…

攻击时间线

威胁情报

受影响的软件

弱点分类 (CWE)

时间线

缓解措施和替代方案

修复方法

CVE 安全通讯

常见问题

什么是 CVE-2020-9742 — XSS 漏洞在 Adobe Experience Manager Inbox 中？

我是否受到 CVE-2020-9742 在 Adobe Experience Manager Inbox 中的影响？

我如何修复 CVE-2020-9742 在 Adobe Experience Manager Inbox 中？

CVE-2020-9742 是否正在被积极利用？

在哪里可以找到 Adobe Experience Manager 的官方安全公告，关于 CVE-2020-9742？

你的项目受影响吗?