Adobe Experience Manager | क्रॉस-साइट स्क्रिप्टिंग (DOM-आधारित XSS) (CWE-79)

यह XSS भेद्यता हमलावरों को पीड़ित के ब्राउज़र के संदर्भ में मनमाना जावास्क्रिप्ट कोड निष्पादित करने की अनुमति देती है। हमलावर सत्र कुकीज़ चुरा सकते हैं, संवेदनशील जानकारी तक पहुंच प्राप्त कर सकते हैं, और पीड़ित की ओर से दुर्भावनापूर्ण कार्रवाई कर सकते हैं। चूंकि शोषण के लिए उपयोगकर्ता इंटरैक्शन की आवश्यकता होती है (एक दुर्भावनापूर्ण पृष्ठ पर जाने की आवश्यकता), यह भेद्यता उन उपयोगकर्ताओं के लिए एक महत्वपूर्ण जोखिम पैदा करती है जो अविश्वसनीय स्रोतों से सामग्री पर क्लिक करते हैं। इस भेद्यता का उपयोग फ़िशिंग हमलों को लॉन्च करने, वेबसाइट की सामग्री को विकृत करने या उपयोगकर्ता के डेटा को चुराने के लिए किया जा सकता है। यह भेद्यता Adobe Experience Manager वेबसाइटों की सुरक्षा को खतरे में डालती है जो इस भेद्यता से प्रभावित हैं।

Organizations heavily reliant on Adobe Experience Manager for content management and digital asset management are at significant risk. Specifically, deployments with custom components or integrations that handle user-supplied data without proper sanitization are particularly vulnerable. Shared hosting environments where multiple websites share the same Adobe Experience Manager instance should also be considered high-risk, as a compromise of one site could potentially impact others.

• adobe: Examine Experience Manager logs for unusual JavaScript execution patterns or attempts to access sensitive data. • generic web: Use curl/wget to test for reflected input in potentially vulnerable endpoints. Check response headers for unexpected script tags.

curl -X POST -d "<script>alert('XSS')</script>" https://your-aem-site/path/to/vulnerable/endpoint

• generic web: Grep access and error logs for patterns indicative of XSS attempts, such as <script> tags or eval() calls.

grep -i '<script>' /var/log/apache2/access.log

1. 2025-12-10Disclosure

   disclosure

1. आरक्षित2025-11-05
2. प्रकाशित2025-12-10
3. संशोधित2026-02-26
4. EPSS अद्यतन2026-03-23

Adobe ने इस भेद्यता को ठीक करने के लिए एक सुरक्षा पैच जारी किया है। सबसे प्रभावी शमन रणनीति Adobe Experience Manager को संस्करण 6.5.24 या बाद के संस्करण में अपडेट करना है। यदि तत्काल अपडेट संभव नहीं है, तो एक वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करके XSS हमलों को कम किया जा सकता है। WAF को उन विशिष्ट पैटर्न को ब्लॉक करने के लिए कॉन्फ़िगर किया जाना चाहिए जो इस भेद्यता का शोषण करने का प्रयास करते हैं। इसके अतिरिक्त, इनपुट सत्यापन और आउटपुट एन्कोडिंग को लागू करने से XSS हमलों के जोखिम को कम करने में मदद मिल सकती है। सुनिश्चित करें कि सभी उपयोगकर्ता इनपुट को ठीक से मान्य और साफ किया गया है, और आउटपुट को सुरक्षित रूप से एन्कोड किया गया है। अपडेट के बाद, यह सत्यापित करें कि भेद्यता ठीक हो गई है, किसी भी संभावित शोषण प्रयासों की निगरानी करें।