PT-2020-5066 · Adobe · Experience Manager
Publicado
2020-09-08
·
Atualizado
2020-09-16
·
CVE-2020-9742
CVSS v3.1
9.0
Crítica
| Vetor | AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Adobe Experience Manager versões 6.5.5.0 e anteriores
Adobe Experience Manager versões 6.4.8.1 e anteriores
Adobe Experience Manager versões 6.3.3.8 e anteriores
Descrição
O problema está relacionado à proteção insuficiente da estrutura da página da web, permitindo que um invasor remoto execute código JavaScript arbitrário no navegador de um usuário por meio de uma página da web especialmente criada. Trata-se de uma vulnerabilidade XSS armazenada que permite que usuários com privilégios de “Autor” armazenem scripts maliciosos em campos associados ao recurso de calendário da Caixa de entrada, os quais podem ser executados quando a vítima abre a página que contém o campo vulnerável.
Recomendações
Para as versões 6.5.5.0 e anteriores do Adobe Experience Manager, atualize para uma versão que inclua a correção para este problema.
Para as versões 6.4.8.1 e anteriores do Adobe Experience Manager, atualize para uma versão que inclua a correção para este problema.
Para as versões 6.3.3.8 e anteriores do Adobe Experience Manager, atualize para uma versão que inclua a correção para este problema.
Como solução alternativa temporária, considere restringir o acesso ao recurso de calendário da Caixa de entrada para minimizar o risco de exploração.
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Experience Manager