CVE-2025-64538

چکیده

آسیب‌پذیری بحرانی XSS مبتنی بر DOM در Adobe Experience Manager شناسایی شده است. این ضعف امنیتی به مهاجم اجازه می‌دهد با تزریق اسکریپت‌های مخرب، کد دلخواه را در مرورگر قربانی اجرا کرده و در نتیجه به اطلاعات نشست دسترسی پیدا کند یا کنترل آن را به دست آورد.

توضیحات

آسیب‌پذیری CVE-2025-64538 در Adobe Experience Manager (AEM) نسخه‌های 6.5.23 و قدیمی‌تر ناشی از XSS مبتنی بر DOM مطابق با CWE-79 است. AEM یک پلتفرم قدرتمند مدیریت محتوای سازمانی (CMS) است که به‌طور گسترده برای طراحی، توسعه و مدیریت وب‌سایت‌ها، برنامه‌های دیجیتال و ارائه تجربه‌های شخصی‌سازی‌شده مورد استفاده قرار می‌گیرد.

این آسیب‌پذیری ناشی از عدم اعتبارسنجی و خنثی‌سازی مناسب داده‌های ورودی در سمت کلاینت و در ساختار Document Object Model (DOM) است. در نتیجه، مهاجم می‌تواند با تزریق اسکریپت‌های مخرب، کدی را وارد صفحه وب کند که در زمینه مرورگر قربانی اجرا می‌شود. بهره‌برداری از این ضعف از طریق شبکه انجام می‌شود، نیازی به احراز هویت ندارد اما مستلزم تعامل کاربر است؛ به این معنا که قربانی باید یک لینک مخرب یا صفحه دست‌کاری‌شده توسط مهاجم را مشاهده کند.

بهره‌برداری از این آسیب‌پذیری نسبتاً ساده است و مهاجم می‌تواند از طریق صفحات وب مخرب یا لینک‌های فیشینگ، اسکریپت‌هایی را اجرا کند که به داده‌های حساس کاربر دسترسی دارند. پیامدهای این ضعف شامل تأثیر بالا بر محرمانگی از طریق سرقت کوکی‌ها، توکن‌های احراز هویت و نشست‌های کاربری (Session Takeover) و تأثیر بالا بر یکپارچگی از طریق دستکاری محتوای صفحات، تغییر عملکرد برنامه یا اجرای عملیات ناخواسته در بستر مرورگر قربانی است. با توجه به اجرای کد در مرورگر و امکان عبور از مرزهای امنیتی اولیه، این آسیب‌پذیری منجر به تغییر دامنه (Scope Changed) می‌شود. Adobe این آسیب‌پذیری بحرانی را با انتشار به‌روزرسانی‌های امنیتی دسامبر 2025 پچ کرده است و نسخه‌های 6.5.24 و بالاتر دیگر تحت تأثیر این ضعف قرار ندارند. در محیط AEM Cloud Service نیز این پچ‌ها به‌صورت خودکار اعمال می‌شوند. به‌روزرسانی سریع سیستم‌ها به نسخه‌های امن، برای جلوگیری از سوءاستفاده‌های احتمالی و کاهش ریسک امنیتی، به‌طور جدی توصیه می‌شود.

CVSS

لیست محصولات آسیب پذیر

لیست محصولات بروز شده

استفاده محصول در ایران

در این جدول، تعداد صفحات ایندکس‌شده در گوگل با دامنه .ir که Adobe Experience Manager را ذکر کرده اند، ثبت شده است. این داده صرفاً برای برآورد تقریبی حضور محصولات در وب ایران استفاده شده و نمایانگر میزان نصب دقیق و استفاده واقعی نیست.

نتیجه گیری

این آسیب‌پذیری با شدت بحرانی در Adobe Experience Manager از طریق حملات XSS مبتنی بر DOM امکان اجرای کد دلخواه در مرورگر کاربران را فراهم می‌کند و ریسک بالایی برای سرقت نشست و دسترسی غیرمجاز دارد. با توجه به انتشار پچ رسمی، اجرای اقدامات زیر برای جلوگیری از بهره‌برداری احتمالی و کاهش ریسک ضروری است:

• به‌روزرسانی فوری: تمام نصب‌های Adobe Experience Manager باید فوراً به نسخه 6.5.24 یا بالاتر برای محیط‌های On‑Premise و به آخرین نسخه Cloud Service برای سرویس‌های ابری ارتقا یابند. این به‌روزرسانی شامل تمامی پچ‌های امنیتی دسامبر 2025 است و تنها راهکار مؤثر برای رفع آسیب‌پذیری XSS مبتنی بر DOM محسوب می‌شود. اعمال این به‌روزرسانی باید در اولویت قرار گیرد تا ریسک اجرای اسکریپت‌های مخرب و سرقت نشست کاربران به حداقل برسد. در محیط‌های Cloud، به‌روزرسانی‌ها به‌صورت خودکار انجام می‌شوند، اما در نسخه‌های On‑Premise اقدام دستی ضروری است.
• اعمال اصول امنیت وب: از هدرهای امنیتی مانند سیاست امنیتی محتوا (CSP) برای محدودسازی اجرای اسکریپت‌های خارجی استفاده کنید و ورودی‌های کاربر را در سمت سرور و کلاینت به‌طور دقیق اعتبارسنجی و خنثی‌سازی نمایید.
• مانیتورینگ و تشخیص تهدید: از فایروال اپلیکیشن وب (WAF) برای شناسایی و مسدودسازی حملات XSS استفاده کنید و لاگ‌های دسترسی و فعالیت‌های مشکوک را به‌طور منظم بررسی نمایید.
• آموزش کاربران: کاربران و مدیران را در مورد ریسک کلیک روی لینک‌های ناشناس و بازدید از صفحات مخرب آگاه سازید تا ریسک مهندسی اجتماعی کاهش یابد.
• تست و ارزیابی: پس از اعمال به‌روزرسانی‌ها، سیستم را با ابزارهای اسکن آسیب‌پذیری XSS تست کنید تا اطمینان حاصل شود ضعف رفع شده است.

اجرای این اقدامات، به‌ویژه به‌روزرسانی سریع و تقویت کنترل‌های ورودی، ریسک بهره‌برداری از این آسیب‌پذیری را به‌طور قابل‌توجهی کاهش داده و سطح امنیت پلتفرم مدیریت محتوای سازمانی را افزایش می‌دهد.

امکان استفاده در تاکتیک های Mitre Attack

Initial Access (TA0001)

دسترسی اولیه از طریق شبکه و بدون نیاز به احراز هویت انجام می‌شود؛ مهاجم با ارسال لینک یا صفحه دست‌کاری‌شده، قربانی را به بازدید از محتوای مخرب وادار می‌کند. این مرحله مبتنی بر تعامل کاربر (UI:R) است و پیش‌نیاز شروع زنجیره حمله محسوب می‌شود.

Execution (TA0002)

کد مخرب جاوااسکریپت در نتیجه‌ی DOM-based XSS مستقیماً در مرورگر قربانی و در context دامنه معتبر اجرا می‌شود. این اجرا، اجرای کد دلخواه در سمت کلاینت است و هسته اصلی بهره‌برداری از آسیب‌پذیری را تشکیل می‌دهد.

Defense Evasion (TA0005)

به دلیل اجرای اسکریپت در context قانونی وب‌سایت، مکانیزم‌های امنیتی مرورگر مانند Same-Origin Policy دور زده می‌شوند و کد مخرب به‌عنوان محتوای قابل اعتماد پردازش می‌گردد. این موضوع تشخیص حمله را برای کنترل‌های سنتی دشوار می‌کند.

Credential Access (TA0006)

اسکریپت تزریق‌شده می‌تواند کوکی‌های نشست، توکن‌های احراز هویت یا داده‌های ذخیره‌شده در مرورگر را استخراج کند و زمینه Session Hijacking یا Account Takeover را فراهم آورد.

Collection (TA0009)

مهاجم قادر است اطلاعات حساس کاربر شامل داده‌های فرم، محتوای DOM، اطلاعات نشست و تعاملات کاربر با سامانه AEM  را جمع‌آوری کند.

Impact (TA0040)

پیامد نهایی شامل سرقت نشست کاربران، اجرای عملیات ناخواسته به نام کاربر، دستکاری محتوای ارائه‌شده و کاهش اعتماد به پلتفرم مدیریت محتوا است. در سناریوهای پیشرفته، این دسترسی می‌تواند به حملات زنجیره‌ای علیه کاربران با سطح دسترسی بالاتر منجر شود.

منابع

1. https://www.cve.org/CVERecord?id=CVE-2025-64538
2. https://www.cvedetails.com/cve/CVE-2025-64538/
3. https://helpx.adobe.com/security/products/experience-manager/apsb25-115.html
4. https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-64538
5. https://vuldb.com/?id.335632
6. https://nvd.nist.gov/vuln/detail/CVE-2025-64538
7. https://cwe.mitre.org/data/definitions/79.html