CRITICAL🇬🇧 English

CVE-2025-64539

DOM-based XSS w Adobe Experience Manager umożliwiający RCE

CVSS 9.3v3.1pub. 2025-12-10upd. 2025-12-12

Adobe Experience Manager w wersjach 6.5.23 i wcześniejszych zawiera podatność typu DOM-based Cross-Site Scripting (XSS), która może prowadzić do wykonania dowolnego kodu. Podatność jest krytyczna, ponieważ pozwala atakującemu na przejęcie sesji ofiary z wysokim wpływem na poufność i integralność danych.

Pokaż oryginał (EN)

Adobe Experience Manager versions 6.5.23 and earlier are affected by a DOM-based Cross-Site Scripting (XSS) vulnerability that could lead to arbitrary code execution. An attacker could exploit this vulnerability by injecting malicious scripts into a web page that are executed in the context of the victim's browser. A successful attacker can abuse this to achieve session takeover, increasing the confidentiality and integrity impact as high. Exploitation of this issue requires user interaction in that a victim must visit a crafted malicious page.

🤖 Analiza AI
Jak działa

Atakujący wstrzykuje złośliwy skrypt do strony internetowej, który jest następnie wykonywany w kontekście przeglądarki ofiary (DOM-based XSS). Mechanizm podatności polega na nieprawidłowej obsłudze danych wejściowych po stronie klienta — skrypt modyfikuje obiektowy model dokumentu (DOM) bez odpowiedniej sanityzacji. Atak wymaga interakcji użytkownika: ofiara musi odwiedzić specjalnie spreparowaną złośliwą stronę. Po skutecznym wykonaniu payload'u atakujący może przejąć aktywną sesję użytkownika.

Skutki

Skuteczne wykorzystanie podatności pozwala atakującemu na przejęcie sesji zalogowanego użytkownika (session takeover) oraz wykonanie dowolnego kodu w kontekście jego przeglądarki, co skutkuje wysokim zagrożeniem dla poufności i integralności danych.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami — szczegółowe informacje o poprawionych wersjach dostępne są w biuletynie bezpieczeństwa Adobe: https://helpx.adobe.com/security/products/experience-manager/apsb25-115.html

Kogo dotyczy

Adobe Experience Manager w wersjach 6.5.23 i wcześniejszych.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:N
  • Adobe Experience Manager

    APP
    Adobe
    6.5< 6.5.24.0< 2025.12.0
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
RCEXSS
CWE
Referencje

Powiązane podatności

CVE-2026-34691CRITICAL9.3PL ✓ten sam produkt

Stored XSS w Adobe Experience Manager Forms JEE – krytyczna podatność

CVE-2025-64537CRITICAL9.3PL ✓ten sam produkt

DOM-based XSS w Adobe Experience Manager umożliwiający RCE

CVE-2025-64538CRITICAL9.3PL ✓ten sam produkt

DOM-based XSS w Adobe Experience Manager — możliwe RCE i przejęcie sesji

CVE-2025-49533CRITICAL9.8PL ✓ten sam produkt

RCE przez deserializację niezaufanych danych w Adobe Experience Manager

CVE-2021-40722CRITICAL9.8ten sam produkt

AEM Forms Cloud Service offering, as well as version 6.5.10.0 (and below) are affected by an XML External Enti...