Plateforme
adobe
Composant
adobe-experience-manager
Corrigé dans
6.5.24
Une vulnérabilité de Cross-Site Scripting (XSS) de type DOM a été découverte dans Adobe Experience Manager, affectant les versions de 0 à 6.5.23. Cette faille permet à un attaquant d'injecter des scripts malveillants dans une page web, qui seront ensuite exécutés dans le navigateur de la victime. L'exploitation réussie de cette vulnérabilité peut conduire à la prise de contrôle de session et compromettre la confidentialité et l'intégrité des données.
L'impact de cette vulnérabilité XSS est significatif. Un attaquant peut exploiter cette faille pour injecter du code JavaScript malveillant dans des pages web consultées par les utilisateurs d'Adobe Experience Manager. Ce code malveillant peut être utilisé pour voler des cookies de session, rediriger les utilisateurs vers des sites web malveillants, ou même exécuter du code arbitraire dans le contexte du navigateur de la victime. La prise de contrôle de session permet à l'attaquant d'accéder aux fonctionnalités et aux données de l'application avec les privilèges de l'utilisateur compromis. Cette vulnérabilité est particulièrement préoccupante car elle nécessite seulement l'interaction de l'utilisateur (visite d'une page malveillante), ce qui la rend plus facile à exploiter à grande échelle.
La vulnérabilité CVE-2025-64537 a été rendue publique le 10 décembre 2025. Il n'y a pas d'indication d'une inscription sur le KEV (CISA Known Exploited Vulnerabilities) à ce jour. La présence d'une interaction utilisateur pour l'exploitation suggère une probabilité d'exploitation modérée, mais la sévérité élevée de la vulnérabilité justifie une attention particulière. La disponibilité de preuves de concept (PoC) publiques pourrait augmenter le risque d'exploitation.
Organizations heavily reliant on Adobe Experience Manager for content management and digital asset management are at significant risk. Specifically, deployments with custom components or integrations that handle user-supplied data without proper sanitization are particularly vulnerable. Shared hosting environments where multiple websites share the same Adobe Experience Manager instance should also be considered high-risk, as a compromise of one site could potentially impact others.
• adobe: Examine Experience Manager logs for unusual JavaScript execution patterns or attempts to access sensitive data. • generic web: Use curl/wget to test for reflected input in potentially vulnerable endpoints. Check response headers for unexpected script tags.
curl -X POST -d "<script>alert('XSS')</script>" https://your-aem-site/path/to/vulnerable/endpoint• generic web: Grep access and error logs for patterns indicative of XSS attempts, such as <script> tags or eval() calls.
grep -i '<script>' /var/log/apache2/access.logdisclosure
Statut de l'Exploit
EPSS
0.73% (percentile 72%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour Adobe Experience Manager vers une version corrigée. Adobe a probablement publié une version corrigée, consultez leurs avis de sécurité pour plus de détails. En attendant la mise à jour, des mesures d'atténuation peuvent être mises en place. Il est recommandé de renforcer les politiques de sécurité du contenu (CSP) pour limiter l'exécution de scripts provenant de sources non fiables. L'utilisation d'un Web Application Firewall (WAF) peut également aider à bloquer les requêtes malveillantes contenant des scripts XSS. Enfin, une surveillance accrue des journaux d'accès et d'erreurs peut aider à détecter les tentatives d'exploitation.
Mettez à jour Adobe Experience Manager vers une version ultérieure à la 6.5.23. Consultez l'avis de sécurité d'Adobe pour obtenir des instructions détaillées sur la façon de mettre à jour votre installation.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-64537 is a CRITICAL DOM-based Cross-Site Scripting (XSS) vulnerability affecting Adobe Experience Manager versions 0–6.5.23, allowing attackers to inject malicious scripts.
If you are using Adobe Experience Manager versions 6.5.23 or earlier, you are potentially affected by this vulnerability. Check your version and upgrade accordingly.
The recommended fix is to upgrade to a patched version of Adobe Experience Manager. Refer to the official Adobe security advisory for details.
While no confirmed active exploitation has been publicly reported, the vulnerability's criticality and the ease of XSS exploitation suggest a high likelihood of future exploitation.
Please refer to the official Adobe Security Bulletin for CVE-2025-64537 on the Adobe Security Advisories website.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.