CVE-2025-64840CVE-2025-64840是Adobe Experience Manager中的一个存储型跨站脚本(Stored XSS)漏洞。该漏洞影响Adobe Experience Manager 6.5.23及更早版本。攻击者可以利用此漏洞通过低权限账号在表单字段中注入恶意JavaScript脚本。当其他用户浏览包含恶意内容的页面时,这些脚本将在其浏览器中执行,可能导致会话劫持、敏感信息窃取、钓鱼攻击等安全问题。由于是存储型XSS,恶意脚本会永久保存在服务器端,影响所有访问该页面的用户。Adobe官方已确认此漏洞并发布安全公告APSB25-115,建议用户尽快升级到最新版本以修复此安全问题。
该漏洞是存储型XSS(Stored Cross-Site Scripting)漏洞,存在于Adobe Experience Manager的表单处理模块中。攻击者具有低权限(PR:L)即可利用此漏洞,无需管理员权限。漏洞的根本原因在于应用程序未能对用户输入进行充分的HTML/JavaScript转义处理,直接将用户提交的内容存储并在后续页面中渲染。当受害者(UI:R需要用户交互)浏览包含恶意脚本的表单字段页面时,浏览器会执行注入的JavaScript代码。攻击者可利用此漏洞窃取用户会话Cookie、伪造用户操作、植入钓鱼页面或重定向用户到恶意网站。CVSS 3.1评分5.4(AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N)表明该漏洞可通过网络利用,复杂度低,但需要用户交互且影响范围有限。