CVE-2025-64563CVE-2025-64563是Adobe Experience Manager中的一个DOM型跨站脚本(XSS)漏洞,CVSS评分5.4,中危级别。该漏洞影响6.5.23及之前版本。攻击者可利用低权限账号,通过诱导用户访问恶意构造的URL或与被篡改的网页进行交互,在受害者浏览器上下文中执行恶意脚本。由于需要用户交互(如点击链接或访问特定页面),攻击复杂度较低,但成功利用可导致会话劫持、敏感信息窃取、钓鱼攻击等严重后果。此漏洞由Adobe安全团队([email protected])发现并披露。
DOM型XSS是一种客户端侧漏洞,攻击载荷在用户浏览器中通过动态修改DOM环境而执行。在Adobe Experience Manager中,攻击者可以通过在URL参数或页面内容中注入恶意JavaScript代码,当受害者访问包含恶意内容的页面时,浏览器会将其解析为可执行脚本。由于漏洞存在于DOM处理逻辑中,传统的服务器端WAF可能无法有效检测此类攻击。攻击者通常需要构造包含XSS载荷的URL,并通过社工手段诱导低权限用户访问。成功利用后,攻击者可获取用户会话Cookie、劫持账户、执行任意前端操作或进行进一步的内网渗透。