CVE-2025-64622: Adobe Experience Manager 中的存储型跨站脚本漏洞
严重性: 中等 类型: 漏洞
CVE-2025-64622 Adobe Experience Manager 6.5.23及更早版本受一个存储型跨站脚本漏洞影响,低权限攻击者可利用此漏洞向易受攻击的表单字段注入恶意脚本。当受害者浏览包含该易受攻击字段的页面时,恶意JavaScript可能会在其浏览器中执行。
技术摘要
CVE-2025-64622 是在 Adobe Experience Manager 中发现的一个存储型跨站脚本漏洞, specifically affecting versions 6.5.23 and earlier。此漏洞源于对表单字段中用户输入的数据清理不足,允许低权限攻击者注入恶意JavaScript代码,并持久存储在服务器上。当受害用户访问被篡改的页面时,注入的脚本会在其浏览器上下文中执行,可能导致会话劫持、凭据窃取或以受害者权限执行未授权操作。
该漏洞归类于CWE-79,属于典型的XSS缺陷。其CVSS v3.1基础评分为5.4,属于中等严重级别。攻击向量指示为网络攻击向量、攻击复杂度低、需要低权限且需要用户交互。影响范围是变更的,意味着该漏洞会影响最初易受攻击组件之外的资源。机密性和完整性影响被评为低,对可用性无影响。
目前尚未有公开的漏洞利用报告,但在这个广泛使用的企业内容管理系统中存在存储型XSS,构成了显著风险,特别是在多用户访问平台的环境中。该漏洞于2025年11月初保留,并于2025年12月发布,目前尚无补丁链接,表明修复可能仍在进行中。
潜在影响
对于欧洲组织而言,CVE-2025-64622的影响可能非常显著,特别是那些依赖Adobe Experience Manager管理网络内容和数字资产的组织。成功利用此漏洞可导致未经授权访问用户会话、窃取敏感信息,如果攻击者利用XSS执行权限提升或横向移动等进一步攻击,还可能危及内部系统。
该漏洞通过存储的有效载荷影响多个用户的能力,增加了组织内部广泛被入侵的风险。用户数据和组织信息的机密性与完整性面临风险,可能导致声誉损害、GDPR下的监管处罚以及运营中断。对用户交互和低权限的要求降低了利用门槛,使其成为针对欧洲企业的威胁行为者的可行攻击向量。
此外,经常使用AEM构建面向公众和内部门户的金融、政府和媒体等行业的组织可能面临更高的风险。
缓解建议
为了缓解CVE-2025-64622,欧洲组织应采取多层防御方法:
- 一旦Adobe发布补丁,立即应用以解决漏洞的根本原因。
- 在补丁可用前,对AEM内的所有表单字段执行严格的输入验证和清理,防止恶意脚本注入。
- 实施强大的输出编码/转义机制,确保任何呈现在网页上的用户提供的数据不会作为代码执行。
- 限制用户权限,仅允许受信任的用户提交或修改内容。
- 采用内容安全策略标头,通过限制脚本加载源来降低潜在XSS的影响。
- 监控Web应用程序日志和用户活动,查找可疑行为或注入尝试的迹象。
- 定期进行以Web应用漏洞为重点的安全评估和渗透测试。
- 教育用户了解与不受信任内容交互的风险,并鼓励报告异常行为。 这些步骤共同降低了在部署永久修复之前被利用的风险和影响。
受影响国家
德国、法国、英国、荷兰、意大利、西班牙
来源: CVE数据库 V5 发布日期: 2025年12月10日,星期三