Adobe выпустила экстренные патчи для AEM Forms - «Новости»

Компания Adobe выпустила внеплановые патчи, которые устраняют две серьезные уязвимости в Adobe Experience Manager Forms (AEM Forms) в Java Enterprise Edition (JEE), для которых уже доступны публичные эксплоиты.

Уязвимости получили идентификаторы CVE-2025-54253 (максимальные 10 баллов по шкале CVSS) и CVE-2025-54254 (8,6 балла по шкале CVSS). Эти баги могли использоваться для выполнения произвольного кода или чтения произвольных файлов в системе.

Разработчики выразили благодарность за обнаружение уязвимостей специалистам компании Assetnote (приобретенной Searchlight Cyber в январе 2025 года).

Adobe описывает CVE-2025-54253 как ошибку, связанную с неправильной конфигурацией, но исследователи Searchlight Cyber объясняют, что уязвимость сочетает в себе обход аутентификации и ошибочно включенный режим разработки Struts в интерфейсе администратора. Это сочетание позволяет создать полезную нагрузку, приводящую к выполнению выражений Object-Graph Navigation Language (OGNL).

Вторая уязвимость, CVE-2025-54254, описывается как проблема типа XXE (XML External Entity Reference). Она возникает из-за того, что механизм аутентификации в AEM Forms загружает XML-документы небезопасным образом, что позволяет использовать баг без аутентификации.

Аналитики Searchlight Cyber уведомили Adobe об уязвимостях в апреле 2025 года, одновременно с CVE-2025-49533 (9,8 балла по шкале CVSS) — критической уязвимостью десериализации недоверенных данных, устраненной в июле.

29 июля, выждав положенные 90 дней, специалисты Searchlight Cyber опубликовали технические детали и PoC-эксплоиты для всех трех уязвимостей, призвав администраторов ограничить доступ к AEM Forms в автономных (standalone) развертываниях.