Platform
adobe
Component
adobe-experience-manager
Opgelost in
6.5.24
CVE-2025-64537 beschrijft een kritieke DOM-based Cross-Site Scripting (XSS) kwetsbaarheid in Adobe Experience Manager. Deze kwetsbaarheid kan misbruikt worden om kwaadaardige scripts in te voegen in een webpagina, die vervolgens in de browser van het slachtoffer worden uitgevoerd. De kwetsbaarheid treft versies 0 tot en met 6.5.23 van Adobe Experience Manager en vereist interactie van de gebruiker om te worden geëxploiteerd. Een patch is beschikbaar.
Een succesvolle exploit van CVE-2025-64537 kan leiden tot code uitvoering in de context van de browser van het slachtoffer. Dit kan misbruikt worden voor sessie-overname, waardoor een aanvaller toegang kan krijgen tot gevoelige informatie en acties kan uitvoeren namens het slachtoffer. De impact is aanzienlijk, omdat een aanvaller de controle over de sessie kan overnemen en de vertrouwelijkheid en integriteit van de data in gevaar kan brengen. De vereiste van gebruikersinteractie betekent dat een aanvaller het slachtoffer moet verleiden om een kwaadaardige pagina te bezoeken, bijvoorbeeld via phishing of een gemanipuleerde link.
Deze kwetsbaarheid is met een CVSS-score van 9.3 als kritiek beoordeeld. Er zijn momenteel geen publieke proof-of-concept exploits bekend, maar de impact van een succesvolle exploit is aanzienlijk. De kwetsbaarheid is publiekelijk bekendgemaakt op 2025-12-10. Het is aan te raden om de situatie te monitoren en proactieve maatregelen te nemen om de risico's te minimaliseren.
Organizations heavily reliant on Adobe Experience Manager for content management and digital asset management are at significant risk. Specifically, deployments with custom components or integrations that handle user-supplied data without proper sanitization are particularly vulnerable. Shared hosting environments where multiple websites share the same Adobe Experience Manager instance should also be considered high-risk, as a compromise of one site could potentially impact others.
• adobe: Examine Experience Manager logs for unusual JavaScript execution patterns or attempts to access sensitive data. • generic web: Use curl/wget to test for reflected input in potentially vulnerable endpoints. Check response headers for unexpected script tags.
curl -X POST -d "<script>alert('XSS')</script>" https://your-aem-site/path/to/vulnerable/endpoint• generic web: Grep access and error logs for patterns indicative of XSS attempts, such as <script> tags or eval() calls.
grep -i '<script>' /var/log/apache2/access.logdisclosure
Exploit Status
EPSS
0.73% (72% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2025-64537 is het upgraden naar een beveiligde versie van Adobe Experience Manager. Adobe heeft een patch uitgebracht om deze kwetsbaarheid te verhelpen. Indien een directe upgrade niet mogelijk is, kan het implementeren van strenge inputvalidatie en output encoding op kritieke pagina's helpen om de impact te verminderen. Het configureren van een Web Application Firewall (WAF) om XSS-pogingen te detecteren en te blokkeren kan ook een effectieve maatregel zijn. Controleer de Adobe Experience Manager documentatie voor specifieke configuratie-instructies.
Werk Adobe Experience Manager bij naar een versie later dan 6.5.23. Raadpleeg het beveiligingsadvies van Adobe voor gedetailleerde instructies over hoe u uw installatie kunt bijwerken.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2025-64537 is a CRITICAL DOM-based Cross-Site Scripting (XSS) vulnerability affecting Adobe Experience Manager versions 0–6.5.23, allowing attackers to inject malicious scripts.
If you are using Adobe Experience Manager versions 6.5.23 or earlier, you are potentially affected by this vulnerability. Check your version and upgrade accordingly.
The recommended fix is to upgrade to a patched version of Adobe Experience Manager. Refer to the official Adobe security advisory for details.
While no confirmed active exploitation has been publicly reported, the vulnerability's criticality and the ease of XSS exploitation suggest a high likelihood of future exploitation.
Please refer to the official Adobe Security Bulletin for CVE-2025-64537 on the Adobe Security Advisories website.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.