CVE-2025-64612CVE-2025-64612是Adobe Experience Manager中的一个存储型跨站脚本(XSS)漏洞,CVSS评分为5.4(中危)。该漏洞影响Adobe Experience Manager 6.5.23及更早版本。攻击者可以利用此漏洞通过低权限账户在存在漏洞的表单字段中注入恶意JavaScript脚本。当其他用户浏览包含恶意脚本的页面时,这些脚本将在受害者浏览器中执行,从而窃取会话Cookie、劫持用户会话、进行钓鱼攻击或修改页面内容。存储型XSS相比反射型XSS更为危险,因为恶意脚本被永久存储在服务器端,所有访问该页面的用户都会受到攻击。该漏洞需要用户交互才能触发,攻击者需要诱导受害者访问特定页面。由于Adobe Experience Manager是企业级内容管理系统,广泛用于构建企业网站和数字体验平台,因此该漏洞可能影响大量企业用户。
该漏洞是存储型XSS(Stored XSS),也称为持久性XSS。攻击原理如下:1) 低权限攻击者通过正常渠道在表单字段中提交包含恶意JavaScript代码的内容;2) 服务器端未对用户输入进行充分的HTML转义或内容过滤,直接将恶意代码存储到数据库中;3) 当其他用户访问包含该字段的页面时,服务器从数据库取出数据并嵌入到HTML页面中返回给用户;4) 由于恶意脚本未被转义,浏览器将其作为合法脚本执行。CVSS向量显示该漏洞具有以下特征:网络可达性(AV:N)意味着可远程利用;低复杂度(AC:L)表示利用难度较低;低权限要求(PR:L)表明普通用户即可实施攻击;需要用户交互(UI:R)说明需要诱导用户访问恶意页面;变更影响(S:C)表示影响安全体系结构;低机密性和完整性影响(C:L/I:L)表明可能造成数据泄露或篡改,但影响范围有限。修复方案应在服务端对所有用户输入进行严格的HTML实体编码,对富文本内容使用白名单过滤机制,并实施内容安全策略(CSP)作为纵深防御。