CVE-2025-64550：Adobe Experience Manager 中的跨站脚本（DOM型XSS）漏洞

严重性：中危 类型：漏洞

CVE-2025-64550

Adobe Experience Manager 6.5.23及更早版本受到一个DOM型跨站脚本漏洞的影响，低权限攻击者可以利用此漏洞在受害者浏览器上下文中执行恶意脚本。利用此问题需要用户交互，例如访问精心构造的URL或与受操纵的网页进行交互。

AI分析

技术摘要

CVE-2025-64550是在Adobe Experience Manager版本6.5.23及更早版本中发现的DOM型跨站脚本漏洞。当客户端脚本将不受信任的数据写入文档对象模型而未经适当清理时，就会发生DOM型XSS，这使得攻击者能够注入在受害者浏览器上下文中执行的恶意JavaScript代码。在这种情况下，低权限攻击者可以制作恶意URL或操纵网页，当用户访问或与之交互时，便会触发任意脚本的执行。这可能导致敏感信息被盗，例如会话cookie、用户凭据或浏览器中可访问的其他数据，以及可能操纵Web应用程序的行为。该漏洞需要用户交互（例如点击恶意链接），并且不允许在服务器上直接远程执行代码或导致拒绝服务。CVSS v3.1基础评分为5.4，反映了中危级别，攻击向量为网络（远程）、攻击复杂度低、所需权限低且需要用户交互。范围已更改，表明该漏洞影响的组件超出了最初易受攻击的模块。目前尚无公开可用的补丁或利用代码，也未有已知的在野利用报告。Adobe Experience Manager被企业广泛用于Web内容管理，这使得该漏洞对依赖AEM进行数字业务的组织具有相关性。该漏洞的利用可能助长定向网络钓鱼或社会工程学攻击，如果与其他漏洞或薄弱的安全控制措施结合，可能导致进一步的危害。

潜在影响

对于欧洲组织而言，CVE-2025-64550的影响主要涉及通过Adobe Experience Manager门户访问的用户会话和数据的机密性与完整性。成功利用可能允许攻击者劫持用户会话、窃取敏感信息或在受害者浏览器上下文中执行未经授权的操作。这对于根据《通用数据保护条例》处理个人数据的组织尤为关键，因为数据泄露可能导致监管处罚和声誉损害。虽然可用性未受直接影响，但用户账户或管理会话遭到破坏的间接后果可能会扰乱业务运营或导致进一步的入侵。政府、金融、医疗保健以及使用AEM构建面向公众的网站或内网门户的大型企业等风险较高的行业。用户交互的要求限制了大规模利用，但并未消除定向鱼叉式网络钓鱼或社会工程学风险。中危评分表明威胁级别中等，但AEM在欧洲的广泛使用以及通过这些平台管理的数据的敏感性提升了及时缓解的重要性。

缓解建议

1. 监控Adobe官方渠道关于CVE-2025-64550的补丁，并在可用后及时应用更新。
2. 在AEM内所有用户可控的输入上实施严格的输入验证和输出编码，以防止恶意脚本注入DOM。
3. 部署强大的内容安全策略以限制未经授权脚本的执行，并减轻XSS攻击的影响。
4. 教育用户和管理员点击可疑链接或与不受信任内容交互的风险，强调网络钓鱼防范意识。
5. 审查并加固Web应用程序配置，禁用可能被利用的不必要功能或脚本。
6. 使用针对AEM典型XSS攻击模式调谐规则的Web应用程序防火墙来检测和阻止攻击。
7. 定期进行针对AEM部署中客户端漏洞的安全评估和渗透测试。
8. 限制AEM内用户和管理员的权限，以最小化账户泄露可能造成的损害。
9. 监控日志和网络流量，以发现可能表明利用尝试的异常活动。
10. 考虑将关键AEM实例或敏感内容置于额外的身份验证或网络分段之后。

受影响国家

德国、法国、英国、荷兰、意大利、西班牙、瑞典

来源： CVE Database V5 发布日期： 2025年12月10日，星期三