CVE-2025-64800: Adobe Experience Manager 中的跨站脚本（存储型 XSS）漏洞（CWE-79）

严重性：中类型：漏洞 CVE 编号： CVE-2025-64800

Adobe Experience Manager 6.5.23 及更早版本受到一个存储型跨站脚本（XSS）漏洞的影响，低权限攻击者可利用此漏洞向易受攻击的表单字段注入恶意脚本。当受害者浏览包含该易受攻击字段的页面时，恶意 JavaScript 代码可能会在其浏览器中执行。

AI 分析技术摘要

CVE-2025-64800 是 Adobe Experience Manager (AEM) 6.5.23 及更早版本中发现的一个存储型跨站脚本（XSS）漏洞。该漏洞源于某些表单字段对用户输入的净化不足，允许低权限攻击者注入存储在服务器上的恶意 JavaScript 代码。当其他用户访问包含注入脚本的受影响页面时，恶意代码将在其浏览器中，在易受攻击的 Web 应用程序的安全上下文中执行。这可能导致会话 Cookie 被盗、用户身份仿冒或重定向至恶意网站，从而危害用户数据的机密性和完整性。

CVSS 3.1 向量（AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N）表明攻击向量为网络，攻击复杂度低，需要低权限和用户交互，并且由于可能对其他用户产生影响而导致范围变更。该漏洞不影响系统可用性。目前尚无已知的公开利用程序，但在广泛使用的企业内容管理系统中存在存储型 XSS，一旦被武器化将构成重大风险。Adobe 尚未发布补丁，因此组织必须依赖临时的缓解措施。该漏洞被归类为 CWE-79，这是一个常见且广为人知的 Web 应用程序安全问题。

潜在影响

对于欧洲组织而言，此漏洞的影响可能非常重大，特别是那些依赖 Adobe Experience Manager 管理面向公众的网站或内部网门户的组织。成功利用此漏洞可能导致会话劫持、以合法用户身份执行未经授权的操作以及潜在的数据泄露。这会损害组织声誉，导致不合规（例如，因个人数据暴露而违反 GDPR），并有助于发起进一步的攻击，如网络钓鱼或恶意软件分发。由于 AEM 通常被欧洲的政府机构、金融机构和大型企业使用，风险会延伸到关键基础设施和敏感信息。中等的 CVSS 评分反映了尽管该漏洞需要一些用户交互和权限，但横向移动或广泛入侵的可能性有限。然而，范围变更表明攻击者可以影响最初受入侵账户之外的其他用户，从而扩大了威胁面。缺乏已知的利用程序降低了直接风险，但并不能消除威胁，尤其是在攻击者通常在漏洞披露后迅速开发利用程序的情况下。

缓解建议

1. 立即应用官方补丁：一旦 Adobe 发布官方补丁，立即应用以彻底修复漏洞。

2. 实施输入验证和输出编码：在补丁发布前，对 AEM 表单中所有用户提供的数据实施严格的输入验证和输出编码，以防止脚本注入。

3. 限制用户权限：将表单和界面上的用户权限限制在最低必要限度，以降低恶意输入提交的风险。

4. 采用内容安全策略：使用内容安全策略（CSP）标头来限制浏览器中未经授权脚本的执行。

5. 监控日志和活动：监控 Web 应用程序日志和用户活动，查找异常的输入模式或重复的脚本注入失败尝试。

6. 用户和管理员教育：教育用户和管理员了解 XSS 风险，并鼓励他们在与 Web 内容交互时保持谨慎行为。

7. 考虑部署 WAF：考虑部署配置了针对性规则以检测和阻止针对 AEM 的 XSS 攻击载荷的 Web 应用防火墙（WAF）。

8. 定期审查安全配置：定期审查并更新 Adobe Experience Manager 的安全配置，以遵循最佳实践。

受影响国家

德国、法国、英国、荷兰、意大利、西班牙

来源： CVE 数据库 V5 发布日期： 2025 年 12 月 10 日星期三

技术详情

• 数据版本： 5.2

• 分配者简称： adobe

• 保留日期： 2025-11-11T22:48:38.826Z

• CVSS 版本： 3.1

• 状态： 已发布 aeYFGlNGPch5/i0AskAWpmMVXj3lzK9JFM/1O1GWF7B9Uq0S07Johg1uEBF9sAJhrM0X/er93znQAJ4T0W0mRsI+6uWsnZRJnhvCvlXbKERJhpZq+nP/bMzKlCK+Z1DI 更多精彩内容 请关注我的个人公众号 公众号（办公 AI 智能小助手）对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号（网络安全技术点滴分享）

公众号二维码

办公AI智能小助手

公众号二维码

网络安全技术点滴分享