Adobe Experience Manager | クロスサイトスクリプティング (DOM-based XSS) (CWE-79)

このXSS脆弱性は、攻撃者が悪意のあるJavaScriptコードをAdobe Experience Managerのウェブページに注入することを可能にします。被害者がそのページを閲覧すると、注入されたスクリプトが実行され、攻撃者はCookieやセッション情報などの機密データにアクセスしたり、ユーザーを悪意のあるウェブサイトにリダイレクトしたり、さらにはウェブサイトのコンテンツを改ざんしたりする可能性があります。セッションの乗っ取りに成功した場合、攻撃者は被害者の権限を悪用し、システム内の機密情報にアクセスしたり、不正な操作を実行したりするリスクが高まります。この脆弱性は、ユーザーの操作を伴うため、広範囲な攻撃キャンペーンで悪用される可能性があります。

Organizations heavily reliant on Adobe Experience Manager for content management and digital asset management are at significant risk. Specifically, deployments with custom components or integrations that handle user-supplied data without proper sanitization are particularly vulnerable. Shared hosting environments where multiple websites share the same Adobe Experience Manager instance should also be considered high-risk, as a compromise of one site could potentially impact others.

• adobe: Examine Experience Manager logs for unusual JavaScript execution patterns or attempts to access sensitive data. • generic web: Use curl/wget to test for reflected input in potentially vulnerable endpoints. Check response headers for unexpected script tags.

curl -X POST -d "<script>alert('XSS')</script>" https://your-aem-site/path/to/vulnerable/endpoint

• generic web: Grep access and error logs for patterns indicative of XSS attempts, such as <script> tags or eval() calls.

grep -i '<script>' /var/log/apache2/access.log

1. 2025-12-10Disclosure

   disclosure

1. 予約済み2025-11-05
2. 公開日2025-12-10
3. 更新日2026-02-26
4. EPSS 更新日2026-03-23

この脆弱性への対応として、まずAdobe Experience Managerを最新バージョン（6.5.23以降）にアップデートすることが最も効果的です。アップデートが困難な場合は、ウェブアプリケーションファイアウォール（WAF）を導入し、XSS攻撃を検知・防御するルールを設定することを検討してください。また、入力値の検証を強化し、HTMLエンコードを適切に適用することで、XSS攻撃のリスクを軽減できます。Adobeは、この脆弱性に関する詳細な緩和策を公開している可能性がありますので、公式のアドバイザリを参照してください。アップデート後、Experience Managerのログを監視し、不審なアクティビティがないか確認してください。