CVE-2025-64825CVE-2025-64825是Adobe Experience Manager中的一个存储型跨站脚本(Stored XSS)漏洞。该漏洞影响6.5.23及更早版本,CVSS评分5.4,属于中等严重程度。攻击者可以利用此漏洞通过低权限账号向易受攻击的表单字段注入恶意脚本。当受害者浏览包含该恶意字段的页面时,注入的JavaScript代码将在其浏览器中执行,从而窃取会话Cookie、劫持用户会话、进行钓鱼攻击或执行其他恶意操作。由于是存储型XSS,恶意脚本会永久保存在服务器端,影响所有访问该页面的用户,危害范围较大。Adobe官方已发布安全公告APSB25-115,建议用户尽快升级到最新版本以修复此漏洞。
该漏洞是由于Adobe Experience Manager在处理用户输入时未对特殊字符进行充分过滤和转义,导致恶意JavaScript代码被存储在数据库中。当其他用户访问包含该恶意内容的页面时,服务器将未经过滤的内容返回给客户端浏览器,浏览器将其作为HTML解析执行,从而触发XSS攻击。攻击者只需拥有低权限账户即可在表单字段中注入<script>标签或事件处理器(如onerror、onload等)。攻击成功后可获取用户Cookie、读取页面内容、模拟用户操作或重定向用户到恶意网站。修复方案是在输出时对所有用户可控数据进行HTML实体编码,确保特殊字符不会被浏览器解析为可执行代码。