CVE-2025-64626CVE-2025-64626是Adobe Experience Manager中的一个存储型跨站脚本(XSS)漏洞,影响6.5.23及之前版本。该漏洞允许低权限攻击者在表单字段中注入恶意脚本,当其他用户浏览包含恶意字段的页面时,脚本会在其浏览器中执行。攻击者可利用此漏洞窃取会话Cookie、劫持用户会话或进行钓鱼攻击。由于是存储型XSS,恶意脚本会被永久保存在服务器上,影响所有访问该页面的用户。
漏洞源于Adobe Experience Manager对用户输入的表单字段缺乏充分的输入验证和输出编码。攻击者可在表单字段中注入JavaScript代码,如<img src=x onerror=alert(document.cookie)>。由于服务器未对输入进行过滤直接存储,当其他用户访问包含该字段的页面时,恶意脚本会被浏览器解析执行。攻击者可通过此方式获取受害者的认证令牌、操纵页面内容或重定向用户。