Plataforma
adobe
Componente
adobe-experience-manager
Corregido en
6.5.24
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) de tipo DOM en Adobe Experience Manager versiones 6.5.23 y anteriores. Esta falla permite a un atacante inyectar scripts maliciosos en una página web, los cuales se ejecutarán en el contexto del navegador de la víctima. La explotación exitosa de esta vulnerabilidad puede conducir a la ejecución arbitraria de código, con un impacto significativo en la confidencialidad e integridad del sistema.
La vulnerabilidad XSS en Adobe Experience Manager permite a un atacante ejecutar código JavaScript arbitrario en el navegador de un usuario. Esto puede ser utilizado para robar cookies de sesión, redirigir a los usuarios a sitios web maliciosos, o incluso modificar el contenido de la página web. En el peor de los casos, un atacante podría lograr la toma de sesión del usuario, obteniendo acceso a información confidencial y realizando acciones en su nombre. El hecho de que requiera interacción del usuario (visitar una página maliciosa) reduce la probabilidad de explotación masiva, pero no elimina el riesgo para usuarios específicos.
La vulnerabilidad CVE-2025-64539 fue publicada el 10 de diciembre de 2025. No se ha añadido a la lista KEV de CISA ni se ha reportado explotación activa a la fecha. La necesidad de interacción del usuario para la explotación limita su probabilidad de ser explotada a gran escala, pero la severidad crítica del CVSS indica un riesgo significativo si un atacante puede engañar a un usuario para que visite una página maliciosa.
Organizations heavily reliant on Adobe Experience Manager for content management and digital asset management are at significant risk. Specifically, deployments with custom components or integrations that handle user-supplied data without proper sanitization are particularly vulnerable. Shared hosting environments where multiple websites share the same Adobe Experience Manager instance also increase the attack surface.
• adobe: Monitor Adobe Experience Manager logs for unusual script execution patterns. Look for POST requests containing suspicious JavaScript code.
Get-WinEvent -LogName Application -FilterXPath "//*[System[Provider[@Name='Adobe Experience Manager']]]" | Where-Object {$_.Message -match "XSS"}• generic web: Inspect HTTP response headers for Content-Security-Policy directives. Verify that CSP is enabled and configured to restrict script sources.
curl -I https://example.com | grep Content-Security-Policy• generic web: Monitor web server access logs for requests containing suspicious URL parameters or POST data that could be indicative of XSS attempts.
disclosure
Estado del Exploit
EPSS
0.73% (72% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2025-64539 es actualizar Adobe Experience Manager a una versión corregida. Adobe aún no ha publicado una versión específica, pero se espera que lo haga pronto. Mientras tanto, se recomienda implementar medidas de seguridad adicionales, como la validación y el saneamiento de todas las entradas del usuario. Además, se pueden configurar reglas en un Web Application Firewall (WAF) para bloquear solicitudes que contengan código JavaScript sospechoso. La monitorización de los logs del servidor en busca de patrones de inyección de scripts también puede ayudar a detectar y prevenir ataques.
Actualice Adobe Experience Manager a una versión posterior a la 6.5.23. Consulte el boletín de seguridad de Adobe para obtener más detalles e instrucciones específicas sobre la actualización.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-64539 is a critical DOM-based Cross-Site Scripting (XSS) vulnerability affecting Adobe Experience Manager versions 0–6.5.23, allowing attackers to inject malicious scripts.
If you are running Adobe Experience Manager versions 6.5.23 or earlier, you are potentially affected by this vulnerability. Check your version and apply the necessary patches.
Upgrade to a patched version of Adobe Experience Manager as soon as it becomes available. Monitor Adobe's security advisories for updates and implement temporary workarounds like CSP.
As of December 10, 2025, there is no confirmed active exploitation, but the vulnerability's severity warrants immediate action to prevent potential attacks.
Refer to the official Adobe Security Bulletin for CVE-2025-64539 on the Adobe Security Advisories website (adobe.com/security/advisories).
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.