В конце 2025 года в Банке данных угроз безопасности информации (BDU) была зарегистрирована новая серьёзная уязвимость в популярной системе управления контентом Adobe Experience Manager (AEM). Идентифицированная под номером BDU:2025-15563 и CVE-2025-64537, эта проблема представляет высокий риск для множества корпоративных и публичных веб-ресурсов. Согласно данным бюллетеня безопасности, уязвимость связана с недостаточной защитой от межсайтового скриптинга (Cross-site Scripting, XSS).
Детали уязвимости
Технически проблема классифицируется как CWE-79, что означает непринятие адекватных мер по защите структуры веб-страницы. Уязвимость затрагивает локальные версии AEM до 6.5.23 включительно, долгосрочную поддерживаемую версию 6.5 LTS, а также облачный сервис AEM Cloud Service (CS) до версии 2025.12. Таким образом, под угрозой оказывается широкий спектр развёртываний этой корпоративной платформы. Adobe Systems уже подтвердила наличие уязвимости и выпустила официальные патчи.
Эксплуатация этой уязвимости может иметь тяжёлые последствия. Атакующий, действуя удалённо, способен внедрить специально созданный вредоносный (malicious) скрипт на веб-страницу, управляемую через AEM. В результате при посещении такой страницы жертвой в её браузере может быть выполнен произвольный код. Ключевой вектор атаки здесь - инъекция, когда злоумышленник использует недостатки валидации входных данных в системе.
Оценка по методологии CVSS подчёркивает критичность ситуации. Базовая оценка по CVSS 2.0 составляет 9.4, что соответствует высокому уровню опасности. Более современная оценка по CVSS 3.1 достигает 9.3, что уже классифицируется как критический уровень. Вектор атаки оценивается как сетевой (AV:N), не требующий особых привилегий для эксплуатации (PR:N) и с низкой сложностью атаки (AC:L). При этом последствия могут быть катастрофическими: возможно полное компрометирование конфиденциальности (C:H) и целостности (I:H) данных.
Потенциальный вред от успешной атаки многогранен. Во-первых, злоумышленник может похитить сессии пользователей и учётные данные администраторов, получив полный контроль над системой управления контентом. Во-вторых, возможна дефейсинг-атака, то есть изменение содержимого публичных страниц, что наносит ущерб репутации компании. В-третьих, атакующие могут перенаправлять посетителей на фишинговые сайты или использовать ресурсы жертвы для скрытых майнинг-операций. В худшем случае уязвимость может служить точкой входа для более масштабной атаки на внутреннюю сеть организации.
Производитель рекомендует немедленное обновление ПО в качестве основного способа устранения угрозы. Для локальных версий AEM необходимо установить актуальные патчи, ссылки на которые приведены в официальном бюллетене безопасности APSB25-115. Пользователям облачного сервиса AEM Cloud Service следует убедиться, что их инстансы обновлены до версии, выпущенной после декабря 2025 года. Эксперты по кибербезопасности также советуют проводить регулярный аудит веб-приложений на наличие XSS-уязвимостей и применять политики безопасности контента.
На данный момент информация о наличии активных эксплойтов, использующих данную уязвимость, уточняется. Однако история показывает, что критические уязвимости в популярных CMS-системах часто становятся мишенью для злоумышленников вскоре после публикации деталей. Следовательно, окно для безопасного обновления может быть крайне ограниченным. Командам безопасности (SOC) рекомендуется добавить сигнатуры, связанные с CVE-2025-64537, в свои системы обнаружения вторжений (IDS).
В заключение, уязвимость в Adobe Experience Manager служит очередным напоминанием о важности своевременного управления обновлениями в корпоративной среде. Критичность оценки по CVSS и широкий охват уязвимых версий делают эту угрозу приоритетной для устранения. Организациям, использующим AEM, следует незамедлительно обратиться к бюллетеню производителя и применить все необходимые исправления для защиты своих цифровых активов и пользовательских данных от потенциальных атак.
Ссылки
- https://bdu.fstec.ru/vul/2025-15563
- https://www.cve.org/CVERecord?id=CVE-2025-64537
- https://helpx.adobe.com/security/products/experience-manager/apsb25-115.html
