CVE-2025-64583: Adobe Experience Manager中的跨站脚本（DOM型XSS）漏洞（CWE-79）

严重性： 中等 类型： 漏洞 CVE编号： CVE-2025-64583

Adobe Experience Manager 6.5.23及更早版本受到一个DOM型跨站脚本（XSS）漏洞的影响，该漏洞可能被低权限攻击者利用，在受害者浏览器上下文中执行恶意脚本。利用此问题需要用户交互，例如访问精心构造的URL或与篡改的网页进行交互。

技术摘要

CVE-2025-64583是一个在Adobe Experience Manager（AEM）6.5.23及更早版本中发现的DOM型跨站脚本（XSS）漏洞。当客户端脚本在未经适当清理的情况下将不受信任的数据写入文档对象模型（DOM）时，就会发生DOM型XSS，从而使攻击者能够注入在受害者浏览器上下文中执行的恶意脚本。此漏洞需要低权限攻击者制作恶意URL或操纵网页，当用户访问或与之交互时，便会触发执行攻击者控制的脚本。

攻击向量基于网络（远程），攻击复杂性低，需要用户交互，例如点击链接或访问恶意页面。该漏洞通过可能允许窃取敏感信息、会话令牌或以用户身份执行操作来影响机密性和完整性。然而，它不影响系统可用性。CVSS v3.1基本评分为5.4，表明严重性为中等。目前尚无公开的补丁或利用程序，但该漏洞已公布，应及时解决。

Adobe Experience Manager被企业广泛用于Web内容管理和数字体验交付，这使得该漏洞对于依赖AEM作为其Web基础设施的组织具有相关性。该漏洞的利用范围仅限于客户端，但如果敏感用户数据或管理会话被泄露，后果可能很严重。

潜在影响

对于欧洲组织而言，CVE-2025-64583在数据机密性和用户信任方面的影响可能很大。如果攻击者成功利用此漏洞，使用Adobe Experience Manager管理网站或数字内容的组织将面临敏感用户数据（包括身份验证令牌和个人信息）暴露的风险。这可能导致会话劫持、以用户身份执行未经授权的操作以及潜在的声誉损害。

鉴于许多欧洲企业和公共部门实体将AEM用于面向客户的门户和内部数字服务，如果与其他攻击向量结合，该漏洞可能有助于针对性的网络钓鱼活动或网络内的横向移动。虽然可用性不会直接受到影响，但用户会话泄露或数据泄漏的间接影响可能会扰乱业务运营以及对GDPR和其他数据保护法规的合规性。用户交互的要求降低了大规模自动化利用的可能性，但并不能消除针对高价值目标或具有提升权限用户的针对性攻击。

缓解建议

欧洲组织应采用多层缓解方法。首先，密切关注Adobe的安全公告，并在官方补丁或更新发布后立即应用，以修复漏洞。在没有补丁的情况下，对AEM中所有用户可控的输入实施严格的输入验证和清理，以防止恶意脚本注入DOM。部署内容安全策略（CSP）标头，以限制未经授权脚本的执行，并减少潜在XSS攻击的影响。定期进行针对AEM部署中客户端漏洞的安全评估和渗透测试。教育用户和管理员关于点击可疑链接或与不受信任内容交互的风险，强调网络钓鱼意识。此外，考虑实施具有针对AEM的XSS攻击模式检测和阻止规则的Web应用程序防火墙（WAF）。审查并最小化AEM内的用户权限，以限制受损帐户的潜在损害。最后，确保建立日志记录和监控，以检测可能表明利用尝试的异常活动。

受影响国家

德国、法国、英国、荷兰、意大利、西班牙、瑞典