Adobe Experience Manager | Cross-site Scripting (DOM-based XSS) (CWE-79)

A vulnerabilidade XSS no Adobe Experience Manager permite que um atacante execute scripts maliciosos no navegador de um usuário. Isso pode ser explorado para roubar cookies de sessão, redirecionar usuários para sites maliciosos ou modificar o conteúdo da página web. Em um cenário de ataque, um atacante poderia criar uma página web maliciosa que, quando visitada por um usuário autenticado no Adobe Experience Manager, injetaria um script que roubaria suas credenciais de sessão. Essas credenciais poderiam então ser usadas para acessar o sistema como o usuário comprometido, permitindo a exfiltração de dados confidenciais ou a modificação de configurações críticas. A necessidade de interação do usuário (visitar uma página maliciosa) limita o impacto, mas a gravidade da execução de código no contexto do usuário torna esta vulnerabilidade crítica.

Organizations heavily reliant on Adobe Experience Manager for content management and digital asset management are at significant risk. Specifically, deployments with custom components or integrations that handle user-supplied data without proper sanitization are particularly vulnerable. Shared hosting environments where multiple websites share the same Adobe Experience Manager instance should also be considered high-risk, as a compromise of one site could potentially impact others.

• adobe: Examine Experience Manager logs for unusual JavaScript execution patterns or attempts to access sensitive data. • generic web: Use curl/wget to test for reflected input in potentially vulnerable endpoints. Check response headers for unexpected script tags.

curl -X POST -d "<script>alert('XSS')</script>" https://your-aem-site/path/to/vulnerable/endpoint

• generic web: Grep access and error logs for patterns indicative of XSS attempts, such as <script> tags or eval() calls.

grep -i '<script>' /var/log/apache2/access.log

1. 2025-12-10Disclosure

   disclosure

1. Reservado2025-11-05
2. Publicada2025-12-10
3. Modificada2026-02-26
4. EPSS atualizado2026-03-23

A mitigação primária para CVE-2025-64537 é a atualização imediata para uma versão corrigida do Adobe Experience Manager. A Adobe ainda não especificou a versão corrigida, mas a atualização para a versão mais recente disponível é recomendada. Enquanto a atualização não for possível, considere implementar medidas de proteção adicionais, como a validação rigorosa de todas as entradas do usuário e a aplicação de políticas de segurança de conteúdo (CSP) para restringir a execução de scripts inline. Monitore logs de acesso e auditoria em busca de atividades suspeitas, como tentativas de injeção de script. Após a atualização, confirme a correção verificando se a injeção de script é impedida ao acessar páginas web que anteriormente eram vulneráveis.