CRITICAL🇬🇧 English

CVE-2026-34691

Stored XSS w Adobe Experience Manager Forms JEE – krytyczna podatność

CVSS 9.3v3.1pub. 2026-06-09upd. 2026-06-11

Adobe Experience Manager Forms JEE w wersjach LTS SP1, 6.5.24.0 i wcześniejszych zawiera krytyczną podatność typu stored Cross-Site Scripting (XSS). Atakujący może wstrzyknąć złośliwe skrypty w pola formularzy, co po odwiedzeniu strony przez ofiarę prowadzi do wykonania kodu w jej przeglądarce i potencjalnego przejęcia konta lub sesji.

Pokaż oryginał (EN)

Adobe Experience Manager Forms JEE versions LTS SP1, 6.5.24.0 and earlier are affected by a stored Cross-Site Scripting (XSS) vulnerability that could be abused by an attacker to inject malicious scripts into vulnerable form fields. Malicious JavaScript may be executed in a victim's browser when they browse to the page containing the vulnerable field, potentially gaining elevated access or control over the victim's account or session. Scope is changed.

🤖 Analiza AI
Jak działa

Podatność polega na niewystarczającym oczyszczaniu danych wejściowych w polach formularzy aplikacji AEM Forms JEE. Atakujący bez uwierzytelnienia, lecz wymagając interakcji użytkownika (UI:R), wstrzykuje złośliwy JavaScript do podatnego pola formularza, gdzie jest on trwale przechowywany (stored XSS). Gdy ofiara odwiedza stronę zawierającą zainfekowane pole, skrypt jest automatycznie wykonywany w jej przeglądarce w kontekście aplikacji. Zmiana zakresu (Scope Changed) oznacza, że skutki wykraczają poza sam komponent podatny na atak.

Skutki

Atakujący może wykonać dowolny kod JavaScript w przeglądarce ofiary, co umożliwia przejęcie sesji, kradzież poświadczeń, eskalację uprawnień lub przejęcie kontroli nad kontem użytkownika. Wysoki wpływ na poufność i integralność sprawia, że zagrożenie jest szczególnie poważne w środowiskach korporacyjnych obsługujących wrażliwe formularze.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami — oficjalny biuletyn bezpieczeństwa Adobe dostępny pod adresem: https://helpx.adobe.com/security/products/aem-forms/apsb26-57.html

Kogo dotyczy

Adobe Experience Manager Forms JEE w wersji LTS SP1, 6.5.24.0 oraz wersjach wcześniejszych

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:N
  • Adobe Experience Manager

    APP
    Adobe
    6.5≤ 6.5.24.0
  • Apple iOS

    OS
    Apple
    wszystkie wersje
  • Apple macOS

    OS
    Apple
    wszystkie wersje
  • Google Android

    OS
    Google
    wszystkie wersje
  • Linux Kernel

    OS
    Linux
    wszystkie wersje
  • Microsoft Windows

    OS
    Microsoft
    wszystkie wersje
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
XSS
CWE
Referencje

Powiązane podatności

CVE-2026-8398CRITICAL9.3⚠ KEVPL ✓ten sam produkt

Atak na łańcuch dostaw DAEMON Tools Lite — trojanizacja instalatorów

CVE-2025-10585CRITICAL9.8⚠ KEVPL ✓ten sam produkt

Type confusion w V8 (Google Chrome) — zdalne uszkodzenie sterty

CVE-2025-43300CRITICAL10.0⚠ KEVPL ✓ten sam produkt

Apple iOS/iPadOS/macOS — out-of-bounds write przy przetwarzaniu obrazu

CVE-2025-34028CRITICAL9.3⚠ KEVPL ✓ten sam produkt

Commvault Command Center – nieuwierzytelniony RCE przez path traversal w ZIP

CVE-2025-31200CRITICAL9.8⚠ KEVPL ✓ten sam produkt

Apple — memory corruption (RCE) w przetwarzaniu strumieni audio