CVE-2025-64605：Adobe Experience Manager中的存储型跨站脚本漏洞（CWE-79）

严重性：中 类型：漏洞 CVE：CVE-2025-64605

Adobe Experience Manager 6.5.23及更早版本受到一个存储型跨站脚本漏洞的影响，低权限攻击者可能利用此漏洞向脆弱的表单字段注入恶意脚本。当受害者浏览包含该脆弱字段的页面时，恶意JavaScript可能会在其浏览器中执行。

技术摘要

CVE-2025-64605是在Adobe Experience Manager 6.5.23及更早版本中发现的一个存储型跨站脚本漏洞。此漏洞源于对某些表单字段的用户输入净化不足，允许低权限攻击者注入恶意JavaScript代码并持久存储在服务器上。当合法用户访问受影响的页面时，恶意脚本会在其浏览器中执行，可能导致会话劫持、凭证窃取或以用户身份执行未授权操作。

该漏洞的CVSS 3.1基础评分为5.4，属于中危级别。攻击向量是基于网络的，攻击复杂性低，需要低权限和用户交互。作用范围已变更，意味着该漏洞会影响到初始脆弱组件之外的资源。影响涉及机密性和完整性，但不影响可用性。目前没有关联的补丁，也没有已知的在野利用报告，表明该漏洞是新披露的。

Adobe Experience Manager广泛用于企业内容管理和数字体验交付，这使得该漏洞对依赖AEM管理Web内容的组织来说至关重要。攻击者利用此漏洞可能危害用户会话或操纵显示内容，破坏信任，并可能导致进一步的攻击，如网络钓鱼或恶意软件分发。

潜在影响

对欧洲组织而言，CVE-2025-64605的影响可能非常重大，特别是对那些使用Adobe Experience Manager管理面向公众的网站或内网门户的组织。成功利用可导致会话Cookie被盗，使攻击者能够冒充用户（包括管理员），从而危害敏感数据和内部系统。Web内容的完整性也可能遭到破坏，可能损害品牌声誉和用户信任。虽然可用性未受直接影响，但数据泄露或篡改的间接后果可能扰乱业务运营。

鉴于中等的CVSS评分和用户交互要求，风险处于中等但不可忽视的水平。依赖AEM提供数字服务的金融、政府和关键基础设施等行业的组织尤其脆弱。此外，攻击者可能利用此漏洞作为立足点，发起更高级的持续性威胁或在网络内进行横向移动。

缓解建议

1. 监控Adobe的官方渠道，获取针对CVE-2025-64605的补丁或安全更新，并在可用时立即应用。
2. 对所有表单字段实施严格的输入验证和输出编码，以防止恶意脚本注入，尽可能采用白名单方法。
3. 将内容提交表单上的用户权限限制在最低必要范围，降低低权限攻击者带来的风险。
4. 采用内容安全策略（CSP）标头，限制浏览器中未经授权脚本的执行。
5. 定期进行安全审计和渗透测试，重点关注Web应用程序漏洞，包括存储型XSS。
6. 教育用户和管理员了解XSS攻击的风险，并鼓励对可疑链接或内容保持警惕。
7. 使用配置为检测和阻止针对AEM的常见XSS攻击模式的Web应用程序防火墙。
8. 审查并强化会话管理控制，以限制被盗会话令牌的影响。
9. 在可行的情况下，将关键管理界面与公共访问隔离，以减少暴露。
10. 保持全面的日志记录和监控，以检测表明利用尝试的异常活动。

受影响国家

德国、法国、英国、荷兰、意大利、西班牙

来源：CVE数据库 V5 发布时间：2025年12月10日，星期三