CVE-2025-64814CVE-2025-64814是Adobe Experience Manager中的一个存储型跨站脚本(XSS)漏洞。该漏洞影响6.5.23及更早版本,允许低权限攻击者在易受攻击的表单字段中注入恶意脚本。当受害者浏览包含该漏洞字段的页面时,恶意JavaScript代码将在其浏览器中执行。存储型XSS相较于反射型XSS更为危险,因为恶意代码被永久存储在服务器端,所有访问该内容的用户都会受到影响。攻击者可利用此漏洞窃取会话Cookie、劫持用户会话、进行钓鱼攻击或修改页面显示内容。由于Adobe Experience Manager是企业级内容管理系统,广泛用于构建企业网站和数字体验平台,此类漏洞可能影响大量企业用户。攻击者只需拥有低权限账户即可实施攻击,降低了攻击门槛。
该漏洞为存储型XSS,存在于Adobe Experience Manager的表单处理模块中。攻击者通过在表单输入字段中注入恶意JavaScript代码(如<script>alert(document.cookie)</script>),由于系统未对用户输入进行充分的HTML转义或内容安全策略(CSP)验证,恶意代码被永久存储在服务器数据库中。当其他用户访问包含该表单的页面时,服务器从数据库读取并返回未经过滤的恶意内容,浏览器将其解析为可执行脚本。攻击者利用此漏洞可窃取用户会话令牌、凭据或其他敏感信息。漏洞的利用需要低权限账户即可完成,无需管理员权限,大大增加了实际攻击的可能性。修复方案通常包括:对所有用户输入进行严格的HTML实体编码、实现内容安全策略(CSP)、对富文本输入使用DOMPurify等安全库进行清理。