Компания Adobe выпустила внеплановые патчи, которые устраняют две серьезные уязвимости в Adobe Experience Manager Forms (AEM Forms) в Java Enterprise Edition (JEE), для которых уже доступны публичные эксплоиты. Уязвимости получили идентификаторы CVE-2025-54253 (максимальные 10 баллов по шкале CVSS) и CVE-2025-54254 (8,6 балла по шкале CVSS). Эти баги могли использоваться для выполнения произвольного кода или чтения произвольных файлов в системе. «Adobe известно, что для CVE-2025-54253 и CVE-2025-54254 уже публично доступны proof-of-concept эксплоиты. У Adobe нет информации об использовании этих проблем в реальных атаках», — отмечается в сообщении компании. Разработчики выразили благодарность за обнаружение уязвимостей специалистам компании Assetnote (приобретенной Searchlight Cyber в январе 2025 года). Adobe описывает CVE-2025-54253 как ошибку, связанную с неправильной конфигурацией, но исследователи Searchlight Cyber объясняют, что уязвимость сочетает в себе обход аутентификации и ошибочно включенный режим разработки Struts в интерфейсе администратора. Это сочетание позволяет создать полезную нагрузку, приводящую к выполнению выражений Object-Graph Navigation Language (OGNL). «Эскалировать уязвимость до удаленного выполнения кода не составляет труда — в открытом доступе существует множество решений для обхода песочницы. В нашем случае пришлось иметь дело с довольно сложным WAF, и поскольку полезная нагрузка находилась в первой строке GET-запроса, пришлось проявить изобретательность, чтобы добиться RCE», — рассказывают в Searchlight Cyber. Вторая уязвимость, CVE-2025-54254, описывается как проблема типа XXE (XML External Entity Reference). Она возникает из-за того, что механизм аутентификации в AEM Forms загружает XML-документы небезопасным образом, что позволяет использовать баг без аутентификации. Аналитики Searchlight Cyber уведомили Adobe об уязвимостях в апреле 2025 года, одновременно с CVE-2025-49533 (9,8 балла по шкале CVSS) — критической уязвимостью десериализации недоверенных данных, устраненной в июле. 29 июля, выждав положенные 90 дней, специалисты Searchlight Cyber опубликовали технические детали и PoC-эксплоиты для всех трех уязвимостей, призвав администраторов ограничить доступ к AEM Forms в автономных (standalone) развертываниях. «Уязвимости, которые мы выявили в AEM Forms, нельзя назвать сложными, — заявляют исследователи. — Это типичные проблемы, которые следовало обнаружить еще много лет назад. Этот продукт, ранее известный как LiveCycle, используется в корпоративной среде почти два десятилетия. В связи с этим возникает вопрос, почему такие простые баги до сих пор не были обнаружены другими исследователями или устранены Adobe».