CVE-2025-64600: Adobe Experience Manager中的跨站脚本（存储型XSS）漏洞（CWE-79）

严重性： 中等 类型： 漏洞 CVE编号： CVE-2025-64600

Adobe Experience Manager 6.5.23及更早版本受到一个存储型跨站脚本（XSS）漏洞的影响。低权限攻击者可利用此漏洞向易受攻击的表单字段中注入恶意脚本。当受害者浏览包含该漏洞字段的页面时，恶意JavaScript代码将在其浏览器中执行。

技术分析

CVE-2025-64600是在Adobe Experience Manager (AEM) 6.5.23及更早版本中发现的一个存储型跨站脚本（XSS）漏洞。此漏洞允许低权限攻击者在AEM界面的易受攻击表单字段中注入恶意JavaScript代码。当受害用户访问包含已注入脚本的页面时，恶意代码将在其浏览器上下文中执行。该攻击利用了表单字段中不当的输入清理和输出编码，实现了持久的脚本注入，这些脚本会存储在服务器上并呈现给后续用户。

该漏洞被归类为CWE-79，表明这是一个典型的XSS缺陷。其CVSS 3.1基本评分为5.4，向量为 AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N。这意味着攻击可以通过网络远程执行，攻击复杂度低，需要低权限，并且用户交互是必需的。范围被标记为已更改（S:C），表明该漏洞影响超出最初易受攻击组件的资源，可能影响其他用户。影响包括有限的机密性和完整性损失，例如会话cookie窃取或显示内容篡改，但无直接的可用性影响。目前尚无已知的公开漏洞利用代码，但由于AEM在企业内容管理中的广泛使用，该漏洞构成了中等风险。在发布时缺乏可用的补丁程序，要求组织实施临时的缓解措施。

潜在影响

对于欧洲的组织而言，此漏洞主要对通过Adobe Experience Manager管理的Web会话和内容的机密性与完整性构成中等风险。利用此缺陷的攻击者可以劫持用户会话、窃取敏感信息或更改显示内容，可能损害组织的声誉和信任。通常依赖AEM进行数字内容交付的政府、金融、医疗保健和媒体等部门风险尤其高。该漏洞可能助长网络钓鱼、凭据盗窃或在合法用户上下文中执行未经授权的操作。鉴于其跨站点的性质，影响会扩展到任何访问受损页面的用户，从而增加了潜在的攻击面。虽然预计不会影响可用性，但如果个人数据暴露，数据泄漏或内容篡改的间接后果可能导致根据GDPR受到监管处罚。低权限要求和用户交互降低了利用门槛，使其成为使用受影响AEM版本的欧洲企业面临的可信威胁。

缓解建议

1. 一旦针对AEM 6.5.23及更早版本发布官方Adobe补丁，请立即应用以修复漏洞。
2. 在补丁可用之前，对所有表单字段实施严格的输入验证和输出编码，以防止脚本注入。
3. 部署强大的内容安全策略（CSP），限制内联脚本的执行并限制可执行代码的来源。
4. 定期进行安全审计和代码审查，重点关注AEM组件内的用户输入处理。
5. 监控Web服务器和应用程序日志，查找表明尝试进行XSS利用的异常或可疑输入模式。
6. 教育用户和管理员了解在AEM管理的站点内点击可疑链接或与不受信任内容交互的风险。
7. 考虑使用具有XSS检测功能的Web应用防火墙（WAF）来阻止针对易受攻击端点的恶意负载。
8. 限制可以向易受攻击表单字段提交内容的用户的权限，以降低恶意输入注入的风险。
9. 隔离关键的AEM实例，并将访问限制在受信任的网络内，以最小化暴露。
10. 保持最新的备份和事件响应计划，以便从潜在的入侵中快速恢复。

受影响国家

德国、法国、英国、荷兰、意大利、西班牙、瑞典

来源： CVE Database V5 发布日期： 2025年12月10日 星期三