Plataforma
adobe
Componente
adobe-experience-manager
Corregido en
6.5.24
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) basada en DOM en Adobe Experience Manager versiones 6.5.23 y anteriores. Esta vulnerabilidad permite a un atacante inyectar scripts maliciosos en una página web, los cuales se ejecutarán en el contexto del navegador de la víctima. La explotación exitosa de esta vulnerabilidad puede resultar en la ejecución arbitraria de código y la toma de sesión.
La vulnerabilidad XSS en Adobe Experience Manager permite a un atacante ejecutar scripts maliciosos en el navegador de un usuario. Esto puede llevar a la exfiltración de información sensible, como cookies de sesión, credenciales de autenticación y otros datos confidenciales. Un atacante podría utilizar esta información para tomar el control de la cuenta del usuario, realizar acciones en su nombre o incluso comprometer la integridad de la aplicación. El impacto se agrava por la posibilidad de ejecución arbitraria de código, lo que podría permitir al atacante instalar malware o realizar otras acciones maliciosas en el servidor. La necesidad de interacción del usuario (visitar una página maliciosa) limita el alcance, pero la alta severidad del CVSS indica un riesgo significativo.
Esta vulnerabilidad ha sido publicada el 10 de diciembre de 2025. No se ha reportado su inclusión en el KEV de CISA ni la existencia de exploits públicos activos. Sin embargo, dada la naturaleza de XSS y su facilidad de explotación, es probable que se desarrollen exploits públicos en el futuro cercano. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier actividad maliciosa relacionada con esta vulnerabilidad.
Organizations heavily reliant on Adobe Experience Manager for content management and digital experiences are at significant risk. Specifically, deployments with custom components or integrations that handle user-supplied data without proper sanitization are particularly vulnerable. Shared hosting environments where multiple websites share the same Experience Manager instance also increase the attack surface.
• adobe: Monitor Experience Manager logs for unusual script execution patterns or attempts to access sensitive data.
Get-WinEvent -LogName Application -FilterXPath "//*[System[Provider[@Name='Adobe Experience Manager']]]" | Where-Object {$_.Message -match "XSS"}• generic web: Inspect HTTP response headers for unexpected script tags or unusual content.
curl -I https://example.com/ | grep -i script• generic web: Review access logs for requests containing suspicious URL parameters or POST data that could be exploited for XSS.
grep -i 'script' /var/log/apache2/access.logdisclosure
Estado del Exploit
EPSS
0.73% (72% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2025-64538 es actualizar Adobe Experience Manager a una versión corregida. Adobe ha publicado una actualización para solucionar esta vulnerabilidad. Si la actualización inmediata no es posible, considere implementar medidas de seguridad adicionales, como la validación y el saneamiento de todas las entradas de usuario. Implementar una política de seguridad de contenido (CSP) estricta puede ayudar a mitigar el riesgo de XSS al restringir las fuentes de las que se pueden cargar los scripts. Monitorear los registros del servidor en busca de patrones sospechosos de inyección de scripts también puede ayudar a detectar y responder a ataques.
Actualice Adobe Experience Manager a una versión posterior a la 6.5.23. Esto solucionará la vulnerabilidad XSS basada en DOM. Consulte el aviso de seguridad de Adobe para obtener más detalles e instrucciones específicas de actualización.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-64538 is a critical DOM-based Cross-Site Scripting (XSS) vulnerability in Adobe Experience Manager versions 0–6.5.23, allowing attackers to inject malicious scripts and potentially take over user sessions.
If you are using Adobe Experience Manager versions 6.5.23 or earlier, you are potentially affected by this vulnerability. Check your version and upgrade as soon as possible.
Upgrade to a patched version of Adobe Experience Manager. Refer to the official Adobe security advisory for specific version details and patching instructions.
While no public exploits are currently known, the vulnerability's severity suggests a high probability of exploitation. Proactive patching is highly recommended.
Refer to the official Adobe Security Bulletin for details: [https://www.adobe.com/security/advisories/AdobeSecurityBulletin.htm](https://www.adobe.com/security/advisories/AdobeSecurityBulletin.htm)
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.