CVE-2025-64539

چکیده

آسیب‌پذیری بحرانی XSS مبتنی بر DOM در Adobe Experience Manager شناسایی شده است. این ضعف امنیتی به مهاجم اجازه می‌دهد با تزریق اسکریپت‌های مخرب، کد دلخواه را در مرورگر قربانی اجرا کرده و در نتیجه به اطلاعات نشست دسترسی پیدا کند یا کنترل آن را به دست آورد.

توضیحات

آسیب‌پذیری CVE-2025-64539 در Adobe Experience Manager (AEM) نسخه‌های 6.5.23 و قدیمی‌تر ناشی از XSS مبتنی بر DOM مطابق با CWE-79 است. AEM یک پلتفرم قدرتمند مدیریت محتوای سازمانی (CMS) است که به‌طور گسترده برای طراحی، توسعه و مدیریت وب‌سایت‌ها، برنامه‌های دیجیتال و ارائه تجربه‌های شخصی‌سازی‌شده مورد استفاده قرار می‌گیرد.

این آسیب‌پذیری ناشی از عدم اعتبارسنجی و خنثی‌سازی مناسب داده‌های ورودی در سمت کلاینت و در ساختار Document Object Model (DOM) است. در نتیجه، مهاجم می‌تواند با تزریق اسکریپت‌های مخرب، کدی را وارد صفحه وب کند که در زمینه مرورگر قربانی اجرا می‌شود. بهره‌برداری از این ضعف از طریق شبکه انجام می‌شود، نیازی به احراز هویت ندارد اما مستلزم تعامل کاربر است؛ به این معنا که قربانی باید یک لینک مخرب یا صفحه دست‌کاری‌شده توسط مهاجم را مشاهده کند.

بهره‌برداری از این آسیب‌پذیری نسبتاً ساده است و مهاجم می‌تواند از طریق صفحات وب مخرب یا لینک‌های فیشینگ، اسکریپت‌هایی را اجرا کند که به داده‌های حساس کاربر دسترسی دارند. پیامدهای این ضعف شامل تأثیر بالا بر محرمانگی از طریق سرقت کوکی‌ها، توکن‌های احراز هویت و نشست‌های کاربری (Session Takeover) و تأثیر بالا بر یکپارچگی از طریق دستکاری محتوای صفحات، تغییر عملکرد برنامه یا اجرای عملیات ناخواسته در بستر مرورگر قربانی است. با توجه به اجرای کد در مرورگر و امکان عبور از مرزهای امنیتی اولیه، این آسیب‌پذیری منجر به تغییر دامنه (Scope Changed) می‌شود. Adobe این آسیب‌پذیری بحرانی را با انتشار به‌روزرسانی‌های امنیتی دسامبر 2025 پچ کرده است و نسخه‌های 6.5.24 و بالاتر دیگر تحت تأثیر این ضعف قرار ندارند. در محیط AEM Cloud Service نیز این پچ‌ها به‌صورت خودکار اعمال می‌شوند. به‌روزرسانی سریع سیستم‌ها به نسخه‌های امن، برای جلوگیری از سوءاستفاده‌های احتمالی و کاهش ریسک امنیتی، به‌طور جدی توصیه می‌شود.

CVSS

لیست محصولات آسیب پذیر

لیست محصولات بروز شده

استفاده محصول در ایران

در این جدول، تعداد صفحات ایندکس‌شده در گوگل با دامنه .ir که Adobe Experience Manager را ذکر کرده اند، ثبت شده است. این داده صرفاً برای برآورد تقریبی حضور محصولات در وب ایران استفاده شده و نمایانگر میزان نصب دقیق و استفاده واقعی نیست.

نتیجه گیری

این آسیب‌پذیری با شدت بحرانی در Adobe Experience Manager از طریق حملات XSS مبتنی بر DOM امکان اجرای کد دلخواه در مرورگر کاربران را فراهم می‌کند و ریسک بالایی برای سرقت نشست و دسترسی غیرمجاز دارد. با توجه به انتشار پچ رسمی، اجرای اقدامات زیر برای جلوگیری از بهره‌برداری احتمالی و کاهش ریسک ضروری است:

• به‌روزرسانی فوری: تمام نصب‌های Adobe Experience Manager باید فوراً به نسخه 6.5.24 یا بالاتر برای محیط‌های On‑Premise و به آخرین نسخه Cloud Service برای سرویس‌های ابری ارتقا یابند. این به‌روزرسانی شامل تمامی پچ‌های امنیتی دسامبر 2025 است و تنها راهکار مؤثر برای رفع آسیب‌پذیری XSS مبتنی بر DOM محسوب می‌شود. اعمال این به‌روزرسانی باید در اولویت قرار گیرد تا ریسک اجرای اسکریپت‌های مخرب و سرقت نشست کاربران به حداقل برسد. در محیط‌های Cloud، به‌روزرسانی‌ها به‌صورت خودکار انجام می‌شوند، اما در نسخه‌های On‑Premise اقدام دستی ضروری است.
• اعمال اصول امنیت وب: از هدرهای امنیتی مانند سیاست امنیتی محتوا (CSP) برای محدودسازی اجرای اسکریپت‌های خارجی استفاده کنید و ورودی‌های کاربر را در سمت سرور و کلاینت به‌طور دقیق اعتبارسنجی و خنثی‌سازی نمایید.
• مانیتورینگ و تشخیص تهدید: از فایروال اپلیکیشن وب (WAF) برای شناسایی و مسدودسازی حملات XSS استفاده کنید و لاگ‌های دسترسی و فعالیت‌های مشکوک را به‌طور منظم بررسی نمایید.
• آموزش کاربران: کاربران و مدیران را در مورد ریسک کلیک روی لینک‌های ناشناس و بازدید از صفحات مخرب آگاه سازید تا ریسک مهندسی اجتماعی کاهش یابد.
• تست و ارزیابی: پس از اعمال به‌روزرسانی‌ها، سیستم را با ابزارهای اسکن آسیب‌پذیری XSS تست کنید تا اطمینان حاصل شود ضعف رفع شده است.

اجرای این اقدامات، به‌ویژه به‌روزرسانی سریع و تقویت کنترل‌های ورودی، ریسک بهره‌برداری از این آسیب‌پذیری را به‌طور قابل‌توجهی کاهش داده و سطح امنیت پلتفرم مدیریت محتوای سازمانی را افزایش می‌دهد.

امکان استفاده در تاکتیک های Mitre Attack

Initial Access (TA0001)

دسترسی اولیه از طریق تعامل کاربر با محتوای مخرب (کلیک روی لینک یا بازدید از صفحه دست‌کاری‌شده) انجام می‌شود. مهاجم بدون نیاز به احراز هویت و از مسیر شبکه، اسکریپت مخرب DOM-based XSS را به مرورگر قربانی تزریق می‌کند.

Execution (TA0002)

اجرای واقعی کد رخ می‌دهد؛ اسکریپت تزریق‌شده در Context مرورگر قربانی اجرا می‌شود و مهاجم می‌تواند JavaScript دلخواه را به‌صورت کامل اجرا کند. این اجرا محدود به مرورگر است اما کاملاً عملیاتی و قابل سوءاستفاده است

Credential Access (TA0006)

اسکریپت مخرب می‌تواند کوکی‌ها، توکن‌های نشست و داده‌های احراز هویت ذخیره‌شده در مرورگر را استخراج کند. این مرحله مسیر مستقیم Session Hijacking را فراهم می‌کند.

Collection (TA0009)

مهاجم داده‌های حساس سمت کاربر مانند اطلاعات فرم‌ها، محتوای DOM، داده‌های تعامل کاربر و اطلاعات نشست را جمع‌آوری می‌کند.

Exfiltration (TA0010)

داده‌های جمع‌آوری‌شده از طریق درخواست‌های HTTP/HTTPS به سرور مهاجم ارسال می‌شوند. این خروج اطلاعات در قالب ترافیک وب عادی انجام می‌شود و در نبود WAF یا تحلیل رفتاری، به‌راحتی دیده نمی‌شود.

Defense Evasion (TA0005)

به دلیل اجرای کد در مرورگر و استفاده از مکانیزم‌های مشروع JavaScript، حمله از بسیاری از کنترل‌های سنتی سرورمحور عبور می‌کند. لاگ‌های سمت سرور معمولاً نشانه‌ای واضح از حمله نشان نمی‌دهند.

Impact (TA0040)

پیامد نهایی شامل Session Takeover، اجرای عملیات ناخواسته با هویت قربانی، دستکاری محتوا و نقض محرمانگی و یکپارچگی است. با توجه به Scope Changed، این حمله می‌تواند به سوءاستفاده زنجیره‌ای از حساب‌های معتبر منجر شود و اثر سازمانی داشته باشد.

منابع

1. https://www.cve.org/CVERecord?id=CVE-2025-64539
2. https://www.cvedetails.com/cve/CVE-2025-64539/
3. https://helpx.adobe.com/security/products/experience-manager/apsb25-115.html
4. https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-64539
5. https://vuldb.com/?id.335633
6. https://nvd.nist.gov/vuln/detail/CVE-2025-64539
7. https://cwe.mitre.org/data/definitions/79.html