CVE-2025-64582：Adobe Experience Manager 中的存储型跨站脚本漏洞（CWE-79）

严重性：中等 类型：漏洞 CVE编号：CVE-2025-64582

Adobe Experience Manager 6.5.23 及更早版本受到一个存储型跨站脚本漏洞的影响。低权限攻击者可利用此漏洞向存在缺陷的表单字段中注入恶意脚本。当受害者浏览包含该漏洞字段的页面时，恶意 JavaScript 代码将在其浏览器中执行。

技术分析摘要

CVE-2025-64582 是 Adobe Experience Manager 6.5.23 及更早版本中发现的一个存储型跨站脚本漏洞。该漏洞允许低权限攻击者向未经过适当清理或编码的表单字段中注入恶意 JavaScript 代码。当受害用户访问包含注入内容的页面时，恶意脚本将在其浏览器上下文中执行，可能导致会话劫持、凭据窃取或以用户身份执行未经授权的操作。

该漏洞归类于 CWE-79，表明在网页生成过程中对输入的处理不当。其 CVSS v3.1 基础评分为 5.4 分，反映了攻击向量基于网络、需要低权限和用户交互，存在范围变更，对机密性和完整性影响有限，但对可用性无影响。

目前尚未有公开的漏洞利用报告，但由于 AEM 在企业内容管理中的广泛使用，该漏洞构成了中等风险。在发布时缺乏可用补丁，受影响组织需立即采取缓解措施。利用此漏洞可能使攻击者绕过访问控制，在用户浏览器上下文中执行任意脚本，可能泄露敏感信息或在受影响环境中促成进一步攻击。

潜在影响

对于欧洲组织而言，CVE-2025-64582 的影响可能十分重大，特别是对于那些依赖 Adobe Experience Manager 管理网络内容和数字体验的组织。漏洞利用可能导致敏感信息未经授权披露、会话劫持以及企业网络内的潜在横向移动。这会破坏用户信任，导致声誉损害、个人数据泄露时面临 GDPR 监管处罚以及业务中断。

鉴于 AEM 被欧洲各地的政府机构、金融机构和大型企业广泛使用，风险已蔓延至关键部门。该漏洞需要用户交互和低权限，降低了大规模自动化利用的可能性，但并未消除针对高价值用户或管理员的有针对性攻击。CVSS 向量中的范围变更表明，攻击可能影响最初易受攻击组件之外的资源，从而增加潜在损害。未能解决此漏洞的组织可能面临网络钓鱼、恶意软件分发或通过被劫持用户会话进行未授权访问的风险增加。

缓解建议

为缓解 CVE-2025-64582，欧洲组织应实施以下具体措施：

1. Adobe 官方补丁发布后立即应用；密切关注 Adobe 安全公告。
2. 对所有表单字段实施严格的输入验证和清理，防止注入恶意脚本。
3. 使用输出编码技术，如上下文感知的 HTML 实体编码，在渲染前中和任何注入的内容。
4. 采用内容安全策略标头，限制浏览器中未经授权脚本的执行。
5. 定期进行侧重于 Web 应用程序输入处理的安全评估和渗透测试。
6. 教育用户了解与可疑内容交互的风险，并鼓励谨慎的浏览行为。
7. 监控 Web 服务器和应用程序日志，查找异常输入模式或反复尝试利用表单字段的行为。
8. 考虑部署配置了专门检测和阻止针对 AEM 的 XSS 载荷规则的 Web 应用程序防火墙。
9. 限制可提交内容的用户权限，以减少攻击面。
10. 隔离关键的 AEM 实例，并将访问限制在受信任的网络，以最小化暴露范围。

受影响国家

德国、法国、英国、荷兰、意大利、西班牙、比利时、瑞典、波兰、爱尔兰

来源： CVE 数据库 V5 发布日期： 2025年12月10日，星期三