CVE-2025-64545：Adobe Experience Manager 中的跨站脚本 (DOM型 XSS) (CWE-79)

严重性： 中等 类型： 漏洞

CVE-2025-64545 Adobe Experience Manager 6.5.23 及更早版本受到一个DOM型跨站脚本 (XSS) 漏洞的影响，低权限攻击者可能利用此漏洞在受害者浏览器上下文中执行恶意脚本。利用此问题需要用户交互，例如访问特制的URL或与被操纵的网页进行交互。

AI分析

技术摘要 CVE-2025-64545 是在 Adobe Experience Manager (AEM) 6.5.23 及更早版本中发现的DOM型跨站脚本漏洞。此漏洞源于客户端脚本中对不受信任数据的处理不当，允许攻击者注入在受害者浏览器上下文中执行的恶意 JavaScript。攻击媒介要求受害者与特制的URL或被操纵的网页进行交互，因此利用需要用户交互。攻击者需要低权限，这意味着即使是非管理用户也可能针对系统其他用户发起攻击。该漏洞通过窃取会话令牌、用户凭据或操纵显示内容，影响到机密性和完整性，可能导致进一步的攻击，如权限提升或网络钓鱼。CVSS v3.1 基本评分为 5.4，反映了中等严重性，其攻击媒介为网络（远程），攻击复杂度低，需要权限但需要用户交互，且由于对其他组件的影响而导致范围发生改变。目前没有相关的补丁，也没有已知的在野利用，表明此漏洞是新披露的。Adobe Experience Manager 被企业广泛用于网络内容管理和数字体验交付，这使得此漏洞对依赖 AEM 进行网络展示和客户参与平台的组织具有重要意义。

潜在影响 对于欧洲组织而言，此漏洞的影响可能很重大，特别是对于那些使用 Adobe Experience Manager 管理面向公众的网站或内部门户的组织。成功利用可能导致敏感用户信息被盗、会话劫持以及以合法用户身份执行未经授权的操作。这可能造成声誉损害、违规（例如，因数据泄露而违反GDPR）和潜在的经济损失。由于 AEM 通常与其他企业系统集成，成功的 XSS 攻击可能成为网络内部更广泛攻击的支点。对用户交互的要求在一定程度上限制了攻击范围，但并未消除风险，尤其是在用户流量高的环境中或可以利用社会工程的情况下。用户数据的机密性和完整性主要面临风险，而可用性未受到直接影响。鉴于 AEM 在欧洲政府、金融和零售等部门的广泛使用，此威胁具有相关性，应得到及时处理。

缓解建议 欧洲组织应实施多层级的缓解方法：

1. 监控 Adobe 官方渠道的补丁，并在补丁发布后立即应用到 Adobe Experience Manager。
2. 在没有补丁的情况下，对客户端脚本处理的所有用户提供的数据实施严格的输入验证和清理，以防止恶意脚本注入。
3. 部署内容安全策略 (CSP) 标头，以限制未经授权的脚本执行，并减少潜在 XSS 攻击的影响。
4. 教育用户了解与可疑URL或链接交互的风险，特别是通过电子邮件或不可信来源收到的链接。
5. 进行定期的安全评估和渗透测试，重点关注 AEM 部署中的客户端漏洞。
6. 使用针对检测和阻止针对 AEM 的 XSS 攻击模式而配置规则的 Web 应用防火墙 (WAF)。
7. 审查并强化 AEM 配置，以最小化易受攻击组件的暴露并减少攻击面。
8. 实施强大的日志记录和监控，以检测可能表明利用尝试的异常活动。

受影响国家 德国、法国、英国、荷兰、意大利、西班牙、瑞典

来源: CVE Database V5 发布日期: 2025年12月10日 星期三