PT-2022-19260 · Adobe · Acs Commons
Publicado
2022-04-21
·
Atualizado
2022-05-03
·
CVE-2022-28820
CVSS v3.1
6.1
Média
| Vetor | AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N |
Nome do software vulnerável e versões afetadas
ACS Commons versões 5.1.x e anteriores
Descrição
O problema é uma vulnerabilidade de Cross-site Scripting (XSS) refletido no endpoint “/apps/acs-commons/content/page-compare.html” por meio dos parâmetros GET
a e b. As entradas do usuário enviadas por meio desses parâmetros não são validadas nem sanitizadas. Um invasor deve fornecer um link a alguém com acesso ao AEM Author e poderia potencialmente explorar essa vulnerabilidade para injetar conteúdo JavaScript malicioso em campos de formulário vulneráveis e executá-lo no contexto do navegador da vítima. A exploração desse problema requer interação do usuário para ser bem-sucedida.Recomendações
Para as versões 5.1.x e anteriores do ACS Commons, atualize para a versão 5.2.0 para resolver o problema. Como solução alternativa temporária, considere restringir o acesso ao endpoint “/apps/acs-commons/content/page-compare.html” e evitar o uso dos parâmetros GET
a e b até que a atualização seja aplicada.Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Acs Commons