L’article publié par Adam Kues le 1er juillet 2025 décrit une série de vulnérabilités XSS persistantes découvertes dans Adobe Experience Manager (AEM) Cloud. Ces vulnérabilités ont été exploitées à trois reprises, permettant l’exécution de scripts malveillants sur chaque site utilisant cette plateforme.
Les chercheurs ont d’abord remarqué que le chemin /.rum était utilisé pour charger des fichiers JavaScript depuis un CDN, ce qui a permis d’exploiter des failles de sécurité pour injecter des scripts malveillants. La première attaque a tiré parti d’une erreur de validation de chemin, permettant de charger un fichier HTML malveillant depuis un package NPM hébergé sur Unpkg.
Après la correction initiale par Adobe, une seconde vulnérabilité a été exploitée en utilisant un comportement de redirection non sécurisé dans les requêtes fetch de Fastly, permettant d’injecter un chemin de traversée de répertoire en utilisant des caractères de tabulation. Cette attaque a également été corrigée par Adobe.
Enfin, une troisième attaque a été réalisée en contournant une nouvelle vérification de validation des caractères encodés, exploitant une faille dans la logique de validation des segments d’URL. Les vulnérabilités ont été corrigées et documentées sous les CVEs CVE-2025-47114 et CVE-2025-47115. Cet article constitue une publication de recherche détaillant les techniques utilisées pour découvrir et exploiter ces failles.
🧠 TTP et IOC détecté
TTP
Exploitation de vulnérabilités XSS persistantes, Injection de scripts malveillants via des chemins de fichiers JavaScript, Exploitation d’erreurs de validation de chemin, Utilisation de redirections non sécurisées, Contournement de vérification de validation des caractères encodés
IOC
Chemin /.rum, Package NPM hébergé sur Unpkg, Requêtes fetch de Fastly
🔗 Source originale : https://slcyber.io/assetnote-security-research-center/how-we-got-persistent-xss-on-every-aem-cloud-site-thrice/