PT-2020-5100 · Adobe · Adobe Experience Manager (Aem) Forms Add-On
Publicado
2020-09-08
·
Atualizado
2020-09-14
·
CVE-2020-9734
CVSS v3.1
9.0
Crítica
| Vetor | AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Componente complementar Adobe Experience Manager (AEM) Forms, versões 6.5.5.0 e anteriores
Componente complementar Adobe Experience Manager (AEM) Forms, versões 6.4.8.1 e anteriores
Descrição
O problema está relacionado a uma vulnerabilidade XSS armazenada que permite que usuários com privilégios de “Autor” armazenem scripts maliciosos em campos associados ao componente Forms. Esses scripts podem ser executados no navegador da vítima quando ela abre a página que contém o campo vulnerável. A vulnerabilidade também é descrita como relacionada à proteção insuficiente da estrutura da página da web, o que pode permitir que um invasor remoto execute código JavaScript arbitrário no navegador do usuário.
Recomendações
Para as versões 6.5.5.0 e anteriores, atualize para uma versão superior à 6.5.5.0 para resolver o problema.
Para as versões 6.4.8.1 e anteriores, atualize para uma versão superior à 6.4.8.1 para resolver o problema.
Como solução alternativa temporária, considere restringir o acesso ao componente Formulários para usuários com privilégios de ‘Autor’ até que um patch esteja disponível.
Evite usar campos associados ao componente Formulários que possam conter scripts maliciosos até que o problema seja resolvido.
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Adobe Experience Manager (Aem) Forms Add-On