Adobe Experience Manager w wersjach 6.5.23 i wcześniejszych zawiera podatność typu DOM-based Cross-Site Scripting (XSS), która może prowadzić do wykonania dowolnego kodu. Podatność jest krytyczna, ponieważ pozwala atakującemu na przejęcie sesji ofiary z wysokim wpływem na poufność i integralność danych.
▸ Pokaż oryginał (EN)
Adobe Experience Manager versions 6.5.23 and earlier are affected by a DOM-based Cross-Site Scripting (XSS) vulnerability that could lead to arbitrary code execution. An attacker could exploit this vulnerability by injecting malicious scripts into a web page that are executed in the context of the victim's browser. A successful attacker can abuse this to achieve session takeover, increasing the confidentiality and integrity impact as high. Exploitation of this issue requires user interaction in that a victim must visit a crafted malicious page.
Atakujący wstrzykuje złośliwy skrypt do strony internetowej, który jest następnie wykonywany w kontekście przeglądarki ofiary (DOM-based XSS). Mechanizm podatności polega na nieprawidłowej obsłudze danych wejściowych po stronie klienta — skrypt modyfikuje obiektowy model dokumentu (DOM) bez odpowiedniej sanityzacji. Atak wymaga interakcji użytkownika: ofiara musi odwiedzić specjalnie spreparowaną złośliwą stronę. Po skutecznym wykonaniu payload'u atakujący może przejąć aktywną sesję użytkownika.
Skuteczne wykorzystanie podatności pozwala atakującemu na przejęcie sesji zalogowanego użytkownika (session takeover) oraz wykonanie dowolnego kodu w kontekście jego przeglądarki, co skutkuje wysokim zagrożeniem dla poufności i integralności danych.
Należy zastosować patche dostępne u producenta zgodnie z referencjami — szczegółowe informacje o poprawionych wersjach dostępne są w biuletynie bezpieczeństwa Adobe: https://helpx.adobe.com/security/products/experience-manager/apsb25-115.html
Adobe Experience Manager w wersjach 6.5.23 i wcześniejszych.
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:NAdobe Experience Manager
APPAdobe6.5< 6.5.24.0< 2025.12.0
Powiązane podatności
Stored XSS w Adobe Experience Manager Forms JEE – krytyczna podatność
DOM-based XSS w Adobe Experience Manager umożliwiający RCE
DOM-based XSS w Adobe Experience Manager — możliwe RCE i przejęcie sesji
RCE przez deserializację niezaufanych danych w Adobe Experience Manager
AEM Forms Cloud Service offering, as well as version 6.5.10.0 (and below) are affected by an XML External Enti...