PT-2020-5065 · Adobe · Experience Manager
Publicado
2020-09-08
·
Atualizado
2020-09-14
·
CVE-2020-9740
CVSS v3.1
9.0
Crítica
| Vetor | AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Adobe Experience Manager versões 6.5.5.0 e anteriores
Adobe Experience Manager versões 6.4.8.1 e anteriores
Adobe Experience Manager versões 6.3.3.8 e anteriores
Adobe Experience Manager versões 6.2 SP1-CFP20 e anteriores
Descrição
O problema está relacionado à proteção insuficiente da estrutura da página da web, permitindo que um invasor remoto execute código JavaScript arbitrário no navegador de um usuário por meio de uma página da web especialmente criada. Essa vulnerabilidade XSS armazenada permite que usuários com privilégios de “Autor” armazenem scripts maliciosos em campos associados ao Design Importer, os quais podem ser executados quando uma vítima abre a página que contém o campo vulnerável.
Recomendações
Para as versões 6.5.5.0 e anteriores do Adobe Experience Manager, atualize para uma versão que inclua a correção para este problema.
Para as versões 6.4.8.1 e anteriores do Adobe Experience Manager, atualize para uma versão que inclua a correção para este problema.
Para as versões 6.3.3.8 e anteriores do Adobe Experience Manager, atualize para uma versão que inclua a correção para este problema.
Para as versões 6.2 SP1-CFP20 e anteriores do Adobe Experience Manager, atualize para uma versão que inclua a correção para este problema.
Como solução alternativa temporária, considere restringir o acesso ao recurso Design Importer para minimizar o risco de exploração.
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Experience Manager