Adobe Experience Manager w wersjach 6.5.23 i wcześniejszych zawiera podatność typu DOM-based Cross-Site Scripting (XSS), która może prowadzić do wykonania dowolnego kodu. Luka umożliwia atakującemu przejęcie sesji ofiary, co skutkuje wysokim wpływem na poufność i integralność danych.
▸ Pokaż oryginał (EN)
Adobe Experience Manager versions 6.5.23 and earlier are affected by a DOM-based Cross-Site Scripting (XSS) vulnerability that could lead to arbitrary code execution. An attacker could exploit this vulnerability by injecting malicious scripts into a web page that are executed in the context of the victim's browser. A successful attacker can abuse this to achieve session takeover, increasing the confidentiality and integrity impact as high. Exploitation of this issue requires user interaction in that a victim must visit a crafted malicious page.
Atakujący wstrzykuje złośliwy skrypt do strony internetowej, który następnie jest wykonywany w kontekście przeglądarki ofiary (DOM-based XSS). Podatność jest wyzwalana po stronie klienta — przeglądarka przetwarza złośliwy payload bez konieczności jego odzwierciedlenia przez serwer. Aby atak się powiódł, ofiara musi odwiedzić specjalnie przygotowaną, złośliwą stronę. Skuteczna eksploatacja pozwala na przejęcie sesji użytkownika (session takeover).
Atakujący może przejąć sesję zalogowanego użytkownika (session takeover), uzyskując nieautoryzowany dostęp do jego konta oraz potencjalnie wykonać dowolny kod w kontekście przeglądarki ofiary. Wpływ na poufność i integralność danych oceniony jest jako wysoki.
Należy zastosować patche dostępne u producenta zgodnie z referencjami (biuletyn bezpieczeństwa Adobe APSB25-115: https://helpx.adobe.com/security/products/experience-manager/apsb25-115.html).
Adobe Experience Manager w wersji 6.5.23 oraz wszystkich wcześniejszych wersjach.
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:NAdobe Experience Manager
APPAdobe6.5< 6.5.24.0< 2025.12.0
Powiązane podatności
Stored XSS w Adobe Experience Manager Forms JEE – krytyczna podatność
DOM-based XSS w Adobe Experience Manager umożliwiający RCE
DOM-based XSS w Adobe Experience Manager umożliwiający RCE
RCE przez deserializację niezaufanych danych w Adobe Experience Manager
AEM Forms Cloud Service offering, as well as version 6.5.10.0 (and below) are affected by an XML External Enti...