Az Adobe kritikus biztonsági frissítéseket adott ki az Adobe Experience Manager (AEM) Forms on JEE platformjához, miután két súlyos sérülékenység látott napvilágot. A biztonsági rések lehetővé tehetik a támadók számára, hogy tetszőleges kódot futtassanak vagy érzékeny fájlokat olvassanak ki az érintett rendszerekből.
A hibákat Shubham Shah és Adam Kues biztonsági kutatók jelentették az Assetnote nevű biztonsági cég égisze alatt.
A felfedezett sérülékenységek
- CVE-2025-54253:
- Típus: Konfigurációs hiba
- Súlyosság: 10.0 (CVSS) – maximális érték
- Hatás: Tetszőleges kód végrehajtása hitelesítés vagy felhasználói interakció nélkül
- Támadási vektor: Hálózaton keresztül, alacsony komplexitással
- Érintett verziók: AEM Forms on JEE 6.5.23.0 és korábbiak minden platformon
- CVE-2025-54254:
- Típus: XML External Entity (XXE) kezelés hiányossága
- Súlyosság: 8.6 (CVSS)
- Hatás: Jogosulatlan hozzáférés a fájlrendszerhez – érzékeny adatok kiszivárgása
- Támadási vektor: Hálózaton keresztül, magas bizalmassági hatással
Az Adobe megerősítette, hogy publikus proof-of-concept (PoC) kódok is elérhetők a sérülékenységekhez, ami jelentősen növeli a támadások kockázatát. Habár jelenleg nincs ismert aktív kihasználás, az Adobe Priority 1 besorolással látta el a frissítéseket – ez a legmagasabb prioritási szint, sürgős telepítést javasolva.
A javítás a 6.5.0-0108 verzióban érhető el, a részletes frissítési útmutató az Adobe Experience League weboldalon található meg.
Mit jelent ez a gyakorlatban?
A CVE-2025-54253 a legsúlyosabb, mivel teljes rendszerkompromittációhoz vezethet. Mivel nincs szükség hitelesítésre vagy felhasználói interakcióra, a támadás automatikusan, akár távolról is végrehajtható. A CVSS vektor (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H) alapján megállapítható, hogy a sérülékenység minden aspektusra – bizalmasság, integritás, elérhetőség – súlyos hatással van.
A második hiba, az XXE alapú támadás (CVE-2025-54254), lehetőséget ad érzékeny fájlok – például konfigurációs állományok vagy hitelesítési adatok – kiolvasására.
Ajánlások
Az AEM Forms-t használó szervezeteknek azonnal frissíteniük kell rendszereiket, valamint érdemes felülvizsgálniuk az alkalmazás konfigurációját is. A nyilvánosan elérhető exploit kódok miatt a támadási felület rendkívül vonzó lehet rosszindulatú szereplők számára – ideértve a célzott támadásokat is.
Az Adobe a felfedező kutatókat a HackerOne platformon keresztül honorálta, jelezve ezzel elkötelezettségét a felelős sérülékenység-jelentés iránt. A vállalat továbbra is várja a biztonsági kutatók bejelentéseit meghívásos alapú bug bounty programján keresztül.