CRITICAL🇬🇧 English

CVE-2025-64538

DOM-based XSS w Adobe Experience Manager — możliwe RCE i przejęcie sesji

CVSS 9.3v3.1pub. 2025-12-10upd. 2025-12-12

Adobe Experience Manager w wersjach 6.5.23 i wcześniejszych zawiera podatność typu DOM-based Cross-Site Scripting (XSS), która może prowadzić do wykonania dowolnego kodu. Luka umożliwia atakującemu przejęcie sesji ofiary, co skutkuje wysokim wpływem na poufność i integralność danych.

Pokaż oryginał (EN)

Adobe Experience Manager versions 6.5.23 and earlier are affected by a DOM-based Cross-Site Scripting (XSS) vulnerability that could lead to arbitrary code execution. An attacker could exploit this vulnerability by injecting malicious scripts into a web page that are executed in the context of the victim's browser. A successful attacker can abuse this to achieve session takeover, increasing the confidentiality and integrity impact as high. Exploitation of this issue requires user interaction in that a victim must visit a crafted malicious page.

🤖 Analiza AI
Jak działa

Atakujący wstrzykuje złośliwy skrypt do strony internetowej, który następnie jest wykonywany w kontekście przeglądarki ofiary (DOM-based XSS). Podatność jest wyzwalana po stronie klienta — przeglądarka przetwarza złośliwy payload bez konieczności jego odzwierciedlenia przez serwer. Aby atak się powiódł, ofiara musi odwiedzić specjalnie przygotowaną, złośliwą stronę. Skuteczna eksploatacja pozwala na przejęcie sesji użytkownika (session takeover).

Skutki

Atakujący może przejąć sesję zalogowanego użytkownika (session takeover), uzyskując nieautoryzowany dostęp do jego konta oraz potencjalnie wykonać dowolny kod w kontekście przeglądarki ofiary. Wpływ na poufność i integralność danych oceniony jest jako wysoki.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami (biuletyn bezpieczeństwa Adobe APSB25-115: https://helpx.adobe.com/security/products/experience-manager/apsb25-115.html).

Kogo dotyczy

Adobe Experience Manager w wersji 6.5.23 oraz wszystkich wcześniejszych wersjach.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:N
  • Adobe Experience Manager

    APP
    Adobe
    6.5< 6.5.24.0< 2025.12.0
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
RCEXSS
CWE
Referencje

Powiązane podatności

CVE-2026-34691CRITICAL9.3PL ✓ten sam produkt

Stored XSS w Adobe Experience Manager Forms JEE – krytyczna podatność

CVE-2025-64537CRITICAL9.3PL ✓ten sam produkt

DOM-based XSS w Adobe Experience Manager umożliwiający RCE

CVE-2025-64539CRITICAL9.3PL ✓ten sam produkt

DOM-based XSS w Adobe Experience Manager umożliwiający RCE

CVE-2025-49533CRITICAL9.8PL ✓ten sam produkt

RCE przez deserializację niezaufanych danych w Adobe Experience Manager

CVE-2021-40722CRITICAL9.8ten sam produkt

AEM Forms Cloud Service offering, as well as version 6.5.10.0 (and below) are affected by an XML External Enti...