XSS-kwetsbaarheden (Storage Cross-Site Scripting) in AEM 6.5.21
Een veiligheidskwetsbaarheid, CVE-2024-43726, die als opgeslagen Cross-Site Scripting (XSS) kwetsbaarheid (CWE-79) wordt gekarakteriseerd werd geïdentificeerd in versie 6.5.21 van Adobe Experience Manager (AEM) en vroeger. Hierdoor kunnen aanvallers kwaadaardige scripts in kwetsbare formuliervelden injecteren, die vervolgens in de context van de browser van een nietsvermoedende gebruiker kunnen worden uitgevoerd.
Om het risico te verlichten verbonden aan de kwetsbaarheid XSS, zorg ervoor dat uw milieu van AEM met het aangewezen de dienstpak, SP 19 of later wordt bijgewerkt.
Beschrijving description
Omgeving
Adobe Experience Manager (AEM), versie 6.5.21 en eerdere versies
Probleem/symptomen
- Een opgeslagen kwetsbaarheid XSS CVE-2024-43726 (zoals die in VULN-25641 wordt gemeld) werd ontdekt in versies van AEM tot 6.5.21.
- Door deze kwetsbaarheid kunnen schadelijke scripts worden geïnjecteerd via formuliervelden, die vervolgens worden opgeslagen en uitgevoerd wanneer ze door andere gebruikers worden benaderd.
- Deze kwetsbaarheid vormt een ernstige bedreiging in omgevingen die gevoelige gegevens verwerken of veelvuldige gebruikersinteractie vereisen.
Hoofdoorzaak
De kwestie, aanvankelijk verbonden aan een eigenschap van Adobe Commerce zoals catalogusverwezenlijking, werd eigenlijk veroorzaakt door de Tovenaar van de Pagina van de Beweging gevestigd bij: /libs/wcm/core/content/sites/movepagewizard.html
Deze component is integraal aan het plaatsbeheer en de console, die een bredere invloed voorbij de aanvankelijke context van Commerce benadrukken.
Hoewel de bug optrad tijdens een Commerce-gerelateerde taak, was dat slechts één manier om de bug te activeren. Adobe Commerce is verwijderd en vervangen door de Commerce integration framework (CIF) in AEM 6.5 Service Pack 22 (SP 22) en later.
Nota : CVE-2024-43726 werd gemeld rond de zelfde tijd zoals CVE-2023-48580, allebei die op een op titel-gebaseerde kwetsbaarheid XSS in de Tovenaar van de Pagina van de Beweging wijzen. Aangezien CVE-2023-48580 reeds werd opgelost (als deel van VULN-25645, specifiek in NPR-41164) in AEM 6.5 Service Pack 19, en allebei de zelfde wortelkwestie delen, is de moeilijke situatie ook op CVE-2024 van toepassing - 43726.
Resolutie resolution
De moeilijke situatie voor CVE-2024-43726 is inbegrepen in het inhoudspakket cq-ui-wcm-admin-content-1.1.138 als deel van NPR-41164. Het werd samengevoegd in AEM 6.5 Service Pack 19 (SP 19), vrijgegeven op 25 september 2023.
Geen extra hotfix wordt vereist voor CVE-2024-43726 aangezien het de zelfde kwetsbaarheid zoals CVE-2023-48580 deelt die reeds in SP 19 werd opgelost. Ongeacht wat in het veiligheidsbulletin is, is de moeilijke situatie voor CVE-2024-43726 beschikbaar in SP 19 en zou niet van belang in SP 21 moeten zijn.
Om ervoor te zorgen dat uw systeem wordt beveiligd:
- Bevestig dat uw omgeving AEM 6.5 Service Pack 19 (SP19) of later uitvoert.
- Als niet, bevorder aan minstens SP 19 om te verzekeren de moeilijke situatie wordt toegepast. Er is geen extra hotfix vereist als SP 19 of hoger is geïnstalleerd.
- Het wordt geadviseerd om aan SP 22 te bevorderen wanneer haalbaar, aangezien het verdere updates en verbeteringen voorbij de moeilijke situatie voor deze specifieke kwetsbaarheid omvat.
het houden van uw milieu van AEM bijgewerkt met het recentste de dienstpak verlicht het risico van deze kwetsbaarheid XSS zonder verdere flarden te vereisen.
Verwante lezing