CVE-2025-64802CVE-2025-64802是Adobe Experience Manager中的一个存储型跨站脚本(XSS)漏洞。该漏洞影响AEM 6.5.23及更早版本。攻击者可以利用低权限账户在存在漏洞的表单字段中注入恶意JavaScript脚本。当受害者浏览包含该漏洞字段的页面时,恶意脚本将在其浏览器中执行,可能导致会话劫持、敏感信息窃取、钓鱼攻击等安全问题。由于是存储型XSS,恶意脚本会永久保存在服务器端,所有访问该页面的用户都可能受到攻击。该漏洞的CVSS评分为5.4,属于中等严重程度,需要用户交互才能触发,但攻击复杂度较低,攻击者可远程利用。
Adobe Experience Manager的表单字段未对用户输入进行充分的输出编码和验证,导致存储型XSS漏洞。攻击者以低权限账户登录AEM系统后,可在表单输入字段中注入恶意JavaScript代码,如:<script>alert(document.cookie)</script>。该恶意脚本被存储在服务器数据库中。当其他用户访问包含该表单的页面时,AEM系统从数据库读取并展示该内容,未对输出进行适当转义,使得恶意脚本在用户浏览器中执行。攻击者可利用此漏洞窃取用户会话Cookie、劫持用户账户、进行钓鱼攻击或修改页面内容。由于攻击基于AEM的正常内容发布流程,恶意脚本可能传播到多个页面,影响范围较大。修复需要升级到AEM 6.5.24或更高版本,并在应用层实施严格的输入验证和输出编码。