CVE-2025-64559 CVSS 5.4 中危

CVE-2025-64559 Adobe Experience Manager 存储型XSS漏洞

披露日期: 2025-12-10

来源: [email protected]

漏洞信息

漏洞编号

CVE-2025-64559

漏洞类型

存储型XSS

CVSS评分

5.4 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

需要交互 (UI:R)

影响产品

Adobe Experience Manager

漏洞概述

Adobe Experience Manager 6.5.23及更早版本存在存储型跨站脚本(XSS)漏洞。该漏洞允许低权限攻击者将恶意脚本注入到存在漏洞的表单字段中。当受害者浏览包含恶意内容的页面时，攻击者的JavaScript代码会在受害者浏览器中执行，可能导致会话劫持、敏感信息窃取或进一步的攻击。

技术细节

该漏洞为存储型XSS，攻击者通过表单输入点注入恶意JavaScript代码。由于缺乏适当的输入验证和输出编码，恶意脚本被永久存储在系统中。当其他用户访问相关页面时，恶意代码会被浏览器执行。

攻击链分析

STEP 1

Reconnaissance

攻击者识别Adobe Experience Manager实例

STEP 2

Exploitation

通过表单字段注入恶意XSS payload

STEP 3

Persistence

恶意脚本被存储在系统中

STEP 4

Execution

受害者访问页面时脚本执行

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

POST /content/forms/af/submit HTTP/1.1
Host: target.com
Content-Type: application/x-www-form-urlencoded

_field=malicious_input&_data=<script>alert(document.cookie)</script>

影响范围

Adobe Experience Manager 6.5.23及更早版本

防御指南

临时缓解措施

应用Adobe发布的安全补丁，升级到6.5.24或更高版本

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表