CVE-2025-64602：Adobe Experience Manager 中的存储型跨站脚本漏洞

漏洞概述

严重性： 中等 类型： 漏洞 CVE编号： CVE-2025-64602

Adobe Experience Manager 6.5.23及更早版本受到一个存储型跨站脚本漏洞的影响。低权限攻击者可利用此漏洞向易受攻击的表单字段注入恶意脚本。当受害者浏览包含该漏洞字段的页面时，恶意JavaScript代码将在其浏览器中执行。

技术分析

CVE-2025-64602是Adobe Experience Manager中发现的存储型跨站脚本漏洞，专门影响6.5.23及更早版本。存储型XSS发生在恶意脚本被永久注入目标应用程序的数据存储（如表单字段）中，随后在用户浏览器中呈现。

在此案例中，低权限攻击者可利用AEM中的漏洞表单字段插入恶意JavaScript代码。当受害者访问包含被破坏字段的页面时，注入的脚本将在其浏览器上下文中执行，可能导致会话劫持、凭据盗窃或以用户身份执行未经授权的操作。

该漏洞要求攻击者拥有提交数据的某种访问权限（低权限），并依赖于用户交互（访问受影响的页面）。CVSS 3.1基础评分为5.4，表明为中等严重级别，攻击向量为网络，攻击复杂度低，需要权限和用户交互。影响涉及机密性和完整性，但不影响可用性。目前尚未报告公开漏洞利用，但该漏洞对使用AEM管理Web内容和数字体验的组织构成风险，特别是那些向外部用户公开表单的组织。报告时缺乏可用补丁，需要通过输入验证和安全控制立即缓解。

潜在影响

对于欧洲组织，此漏洞可能导致在用户浏览器中执行未经授权的脚本，可能危及敏感数据，如身份验证令牌、个人信息或内部会话数据。这可能导致帐户接管、数据泄漏或以受害者身份执行未经授权的操作。依赖Adobe Experience Manager面向公众的网站或内联网门户的组织尤其脆弱，因为攻击者可利用用户交互传播恶意脚本。

在处理敏感或受监管数据的行业，如金融、医疗保健和政府，影响更为严重，因为这些行业的数据机密性和完整性至关重要。此外，如果个人数据受到损害，可能会根据GDPR产生声誉损害和监管处罚。缺乏已知漏洞利用降低了即时风险，但并未消除威胁，因为攻击者可能在漏洞细节公开后开发漏洞利用。中等严重性评级表明紧迫性适中，但考虑到AEM在欧洲的广泛使用，不应降低其优先级。

缓解建议

1. 监控Adobe官方渠道，寻找针对CVE-2025-64602的补丁，并在可用后立即应用。
2. 在Adobe Experience Manager的所有表单字段上实施严格的输入验证和清理，以防止恶意脚本注入。对可接受的输入字符和长度使用允许列表。
3. 部署内容安全策略头，以限制未经授权脚本的执行并减少任何注入代码的影响。
4. 定期进行安全审计和渗透测试，重点关注Web应用程序漏洞，包括XSS，特别是面向公众的表单。
5. 教育内容管理者和开发人员了解安全编码实践和XSS漏洞的风险。
6. 使用针对检测和阻止针对AEM的XSS攻击载荷调整规则的Web应用程序防火墙。
7. 限制可提交数据的用户的权限至最低必要，以减少攻击面。
8. 监控日志和用户活动，寻找可能表明攻击尝试的异常行为。
9. 考虑在额外的身份验证或验证层后隔离关键的AEM组件或敏感用户交互。

受影响国家

德国、法国、英国、荷兰、意大利、西班牙