2021.07.08

Adobe 体验管理器被曝存在 0day 漏洞

Tag:AEM，0day
事件概述:
DR Security 研究人员于 28 日发现了 Adobe Experience Manager(AEM)中绕过身
份验证的 0day 漏洞 AEM CRX Bypass。AEM 是流行的内容管理解决方案，已成为许多 知名企业的首选内容管理系统 (CMS)，包括万事达卡、LinkedIn、PlayStation 和 McAfee 在内的多家公司都受到了影响。此漏洞允许攻击者绕过身份验证并访问 CRX 包管理器。C RX 包允许导入和导出存储库内容，CRX Package Manager 可用于配置、构建、下载、 安装和删除本地 AEM 安装上的包。该漏洞存在于 CRX/crx/packmgr/端点。攻击者可通过 绕过 Dispatcher(Adobe Experience Manager 的缓存和/或负载平衡工具)中的身份验证 来访问 CRX Package Manager。Dispatcher 在交付缓存页面之前检查用户对页面的访问
权限，然后在 AEM 中上传恶意包来获得对应用程序的完全控制。目前，厂商已修复该漏 洞。 

上一篇：漏洞情报

下一篇：勒索专题