CVE-2025-64841CVE-2025-64841是Adobe Experience Manager中的一个存储型跨站脚本(XSS)漏洞,CVSS评分5.4,影响6.5.23及更早版本。该漏洞允许低权限攻击者在易受攻击的表单字段中注入恶意脚本。由于是存储型XSS,恶意代码会被永久保存在服务器端,所有访问包含该字段页面的用户都会受到攻击。当受害者浏览到包含恶意脚本的页面时,攻击者的JavaScript代码将在受害者浏览器中执行,可能导致会话劫持、敏感信息窃取、钓鱼攻击等严重后果。攻击者利用此漏洞可以提升权限或对其他用户进行进一步攻击,对企业Web应用安全构成威胁。
Adobe Experience Manager 6.5.23及更早版本在处理用户输入的表单字段时,未对用户提交的内容进行充分的输入验证和输出编码。攻击者(即使是低权限用户)可以在表单字段中注入恶意的HTML/JavaScript代码,如<script>alert(document.cookie)</script>等。该恶意内容会被存储在服务器数据库中,当其他用户访问包含该表单字段的页面时,服务端从数据库读取并返回该内容到用户浏览器,由于缺少适当的输出编码,浏览器会将其作为可执行脚本执行。攻击者可以利用此漏洞窃取受害者的会话Cookie、进行CSRF攻击、修改页面内容或重定向用户到恶意网站。攻击的成功依赖于受害者访问包含恶意内容的页面。