CVE-2025-64574：Adobe Experience Manager中的跨站脚本（存储型XSS）漏洞（CWE-79）

严重性： 中等 类型： 漏洞

描述

Adobe Experience Manager 6.5.23及更早版本受到一个存储型跨站脚本（XSS）漏洞的影响。低权限攻击者可能利用此漏洞在易受攻击的表单字段中注入恶意脚本。当受害者浏览包含该易受攻击字段的页面时，恶意JavaScript可能会在其浏览器中执行。

技术摘要

CVE-2025-64574是Adobe Experience Manager（AEM）6.5.23及更早版本中发现的一个存储型跨站脚本（XSS）漏洞。该漏洞源于对表单字段中用户输入的净化不足，允许低权限攻击者注入恶意JavaScript代码并持久存储在服务器上。当受害者用户访问包含注入脚本的受影响页面时，恶意代码将在其浏览器上下文中执行。该漏洞被归类于CWE-79（网页生成期间输入的不当中和）。CVSS 3.1基础评分为5.4，反映出攻击向量是基于网络的（AV:N），需要低权限（PR:L）和用户交互（UI:R），并且范围变更（S:C）表明该漏洞影响最初易受攻击组件之外的资源。影响包括有限的机密性和完整性损失，例如会话劫持或代表用户执行未经授权的操作，但没有直接的可用性影响。截至发布日期，尚无已知的公开漏洞利用程序或补丁，这增加了组织实施主动缓解措施的紧迫性。在AEM用于管理面向公众或内部Web内容的环境中，此漏洞尤其关键，因为攻击者可以利用XSS进行网络钓鱼、凭据窃取或网络内横向移动。

潜在影响

对于欧洲组织而言，CVE-2025-64574的影响可能非常重大，特别是那些依赖Adobe Experience Manager进行内容管理和数字体验交付的组织。漏洞利用可能导致未经授权访问用户会话、窃取敏感数据（如身份验证令牌或个人身份信息），以及潜在的网页内容篡改或操纵。这可能会损害组织声誉、导致监管不合规（例如，因数据泄露而违反GDPR）并造成运营中断。由于该漏洞需要用户交互和低权限，攻击者可能利用网络钓鱼或社会工程活动来提高漏洞利用成功率。漏洞的范围变更意味着攻击者可以影响最初受感染组件之外的用户，可能波及广泛的用户和系统。广泛使用AEM的欧洲部门，如政府、金融、医疗保健和大型企业，面临更高的风险。目前尚无已知漏洞利用程序，这为缓解措施提供了一个窗口期，但也意味着组织应在攻击者开发出武器化代码之前采取行动。

缓解建议

为有效缓解CVE-2025-64574，欧洲组织应： 1） 在Adobe Experience Manager内的所有表单字段上应用严格的输入验证和净化，以防止恶意脚本注入。 2） 实施稳健的输出编码/转义机制，以确保在网页中呈现的任何用户提供的数据不会作为代码执行。 3） 限制可向易受攻击表单提交数据的用户的权限，以最小化攻击面。 4） 监控Web应用程序日志和用户活动，查找表明XSS攻击企图的异常或可疑输入模式。 5） 采用内容安全策略（CSP）标头来限制未经授权脚本在浏览器中的执行。 6） 保持Adobe Experience Manager更新，并关注Adobe官方补丁或安全公告，以便在可用时修复该漏洞。 7） 开展安全意识培训，以降低可能促进漏洞利用成功的网络钓鱼或社会工程攻击的风险。 8） 使用具有针对检测和阻止针对AEM的XSS负载规则的Web应用程序防火墙（WAF）。 这些措施结合起来将降低超出一般建议的漏洞利用可能性和影响。

受影响国家

德国、法国、英国、荷兰、意大利、西班牙、瑞典

来源与元数据

来源： CVE数据库 V5 发布日期： 2025年12月10日（星期三） 供应商/项目： Adobe 产品： Adobe Experience Manager 数据版本： 5.2 分配者简称： adobe 保留日期： 2025-11-05T22:51:33.028Z CVSS版本： 3.1 状态： 已发布 威胁ID： 6939bda9fe7b3954b690b300 添加到数据库： 2025年12月10日 下午6:36:25 最后丰富： 2025年12月10日 下午7:12:22 最后更新： 2025年12月11日 上午8:37:29