CVE-2025-64619CVE-2025-64619是Adobe Experience Manager中的一个存储型跨站脚本(XSS)漏洞。该漏洞影响6.5.23及更早版本,允许低权限攻击者在表单字段中注入恶意JavaScript脚本。由于是存储型XSS,恶意代码会被永久保存在服务器端,当其他用户浏览包含这些被污染字段的页面时,恶意脚本会在其浏览器中自动执行。攻击者可利用此漏洞窃取用户会话Cookie、劫持用户账户、进行钓鱼攻击或修改页面内容显示。由于攻击需要低权限账户且需要用户交互,CVSS评分为5.4(中危)。该漏洞由Adobe安全团队([email protected])发现并于2025年12月10日披露。
Adobe Experience Manager的表单组件未对用户输入进行充分的HTML实体编码。当低权限用户在前台表单字段中提交包含JavaScript代码的内容时,系统直接将该内容存储到数据库中而未进行安全过滤。在后续页面渲染过程中,这些未经过滤的内容被直接输出到HTML页面中,导致恶意脚本在受害者浏览器中执行。攻击者利用此漏洞需要:1)拥有一个低权限的AEM账户;2)找到允许用户输入的表单字段;3)注入恶意JavaScript代码;4)诱导其他用户访问包含该字段的页面。由于攻击代码存储在服务器端,每次页面加载都会执行,具有持久性危害。防御措施包括对所有用户输入进行严格的输入验证和输出编码。