CRITICALCVE-2025-64537CVSS 9.3

Adobe Experience Manager | 跨站脚本 (基于 DOM 的 XSS) (CWE-79)

平台

adobe

组件

adobe-experience-manager

修复版本

6.5.24

AI Confidence: highNVDEPSS 0.7%已审阅: 2026年5月

在NVD查看

保存

CVE-2025-64537 描述了 Adobe Experience Manager 中存在的 DOM 型跨站脚本 (XSS) 漏洞。该漏洞可能允许攻击者在受害者的浏览器上下文中执行任意代码，从而导致会话劫持等严重后果。受影响的版本包括 6.5.23 及更早版本。Adobe 已发布补丁，建议用户尽快更新。

影响与攻击场景

该 XSS 漏洞允许攻击者通过将恶意脚本注入到网页中来利用该漏洞。一旦脚本成功注入并执行，攻击者可以控制受害者的浏览器，窃取敏感信息，例如 Cookie 和会话令牌。这可能导致攻击者完全接管受害者的会话，并以受害者的身份执行操作。由于需要用户交互（访问恶意页面），攻击者可能需要诱骗用户点击恶意链接或访问被攻击的网站。成功利用该漏洞的潜在影响包括数据泄露、身份盗窃和系统破坏。

利用背景

该漏洞已于 2025 年 12 月 10 日公开披露。目前尚无公开的利用程序 (PoC)，但 XSS 漏洞通常容易受到攻击。由于 CVSS 评分为严重，建议尽快采取缓解措施。该漏洞尚未被添加到 CISA KEV 目录。

哪些人处于风险中翻译中…

Organizations heavily reliant on Adobe Experience Manager for content management and digital asset management are at significant risk. Specifically, deployments with custom components or integrations that handle user-supplied data without proper sanitization are particularly vulnerable. Shared hosting environments where multiple websites share the same Adobe Experience Manager instance should also be considered high-risk, as a compromise of one site could potentially impact others.

检测步骤翻译中…

• adobe: Examine Experience Manager logs for unusual JavaScript execution patterns or attempts to access sensitive data. • generic web: Use curl/wget to test for reflected input in potentially vulnerable endpoints. Check response headers for unexpected script tags.

curl -X POST -d "<script>alert('XSS')</script>" https://your-aem-site/path/to/vulnerable/endpoint

• generic web: Grep access and error logs for patterns indicative of XSS attempts, such as <script> tags or eval() calls.

grep -i '<script>' /var/log/apache2/access.log

攻击时间线

2025-12-10Disclosure
disclosure

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

互联网暴露高

EPSS

0.73% (72% 百分位)

CISA SSVC

利用情况none

可自动化no

技术影响total

CVSS 向量

受影响的软件

组件adobe-experience-manager

供应商Adobe

影响范围修复版本

0 – 6.5.236.5.24

弱点分类 (CWE)

CWE-79

时间线

已保留2025-11-05
发布日期2025-12-10
修改日期2026-02-26
EPSS 更新日期2026-03-23

未修复 — 披露已165天

缓解措施和替代方案

缓解此漏洞的首要措施是升级到 Adobe Experience Manager 的修复版本。如果无法立即升级，可以考虑以下临时缓解措施：实施严格的输入验证和输出编码，以防止恶意脚本注入。配置 Web 应用程序防火墙 (WAF) 以检测和阻止 XSS 攻击。审查并更新内容安全策略 (CSP)，以限制浏览器可以加载的资源。监控系统日志和安全警报，以检测可疑活动。

修复方法

将 Adobe Experience Manager 更新到 6.5.23 之后的版本。请参阅 Adobe 安全公告以获取有关如何更新安装的详细说明。

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

什么是 CVE-2025-64537 — XSS 在 Adobe Experience Manager 中？

CVE-2025-64537 是 Adobe Experience Manager 6.5.23 及更早版本中的一种 DOM 型跨站脚本 (XSS) 漏洞，攻击者可以注入恶意脚本，导致任意代码执行。

我是否受到 CVE-2025-64537 在 Adobe Experience Manager 中影响？

如果您正在使用 Adobe Experience Manager 6.5.23 或更早版本，则您可能受到此漏洞的影响。请尽快升级到修复版本。

我如何修复 CVE-2025-64537 在 Adobe Experience Manager 中？

升级到 Adobe Experience Manager 的修复版本是修复此漏洞的最佳方法。如果无法立即升级，请实施输入验证和输出编码等缓解措施。

CVE-2025-64537 是否正在积极利用？

虽然目前尚无公开的利用程序，但 XSS 漏洞通常容易受到攻击，建议尽快采取缓解措施。

在哪里可以找到 Adobe Experience Manager 中 CVE-2025-64537 的官方公告？

请访问 Adobe 安全公告页面以获取更多信息：https://www.adobe.com/security/advisories/.