В реестр уязвимостей Федеральной службы по техническому и экспортному контролю (ФСТЭК) России внесена новая серьёзная угроза. Специалисты присвоили ей идентификатор BDU:2025-15564 и высокий уровень опасности. Речь идёт об уязвимости в популярной системе управления контентом и цифровыми активами Adobe Experience Manager (AEM). Проблема затрагивает все основные редакции платформы, включая облачный сервис, и может позволить злоумышленникам удалённо захватить контроль над корпоративным веб-сайтом.
Детали уязвимости
Суть уязвимости, технически классифицируемой как CWE-79 или «Межсайтовый скриптинг» (XSS), заключается в недостаточной защите структуры веб-страниц. Эксперты отмечают, что ошибка кода позволяет удалённому атакующему выполнить произвольные команды на сервере. Для этого достаточно заставить пользователя с соответствующими правами доступа перейти на специально созданную вредоносную веб-страницу. В результате злоумышленник может получить полный контроль над контентом и функционалом сайта, построенного на AEM.
Под угрозой находятся все версии Adobe Experience Manager вплоть до 6.5.23 включительно, а также долгосрочная поддерживаемая версия 6.5 LTS. Критически важное обновление требуется и для клиентов облачного сервиса AEM Cloud Service (CS) с датой выпуска ранее декабря 2025 года. Учитывая, что AEM широко используется крупными компаниями и государственными организациями для создания и управления своими цифровыми платформами, масштаб потенциального воздействия оценивается как значительный.
Система оценки CVSS (Common Vulnerability Scoring System) подтверждает серьёзность угрозы. По устаревшей, но всё ещё распространённой шкале CVSS 2.0 уязвимость получила базовый балл 9.4 из 10, что соответствует высокому уровню опасности. Более современная метрика CVSS 3.1 присваивает проблеме ещё более суровую оценку - 9.3, что классифицируется как критический уровень. Высокие баллы обусловлены тем, что для эксплуатации уязвимости не требуется аутентификация или сложные условия, а потенциальный ущерб для конфиденциальности и целостности данных является максимальным.
Производитель, компания Adobe, уже подтвердил наличие проблемы и присвоил ей идентификатор CVE-2025-64539. В соответствии со стандартной практикой, подробности технической реализации уязвимости не раскрываются до тех пор, пока большинство пользователей не установят патчи. Это делается для предотвращения волны атак по готовым сценариям. На данный момент информация о существовании активных эксплойтов, то есть готовых инструментов для атаки, уточняется. Однако история подобных уязвимостей в популярном корпоративном ПО показывает, что злоумышленники начинают активно их исследовать сразу после публикации бюллетеней безопасности.
Единственным эффективным способом устранения риска является незамедлительное обновление программного обеспечения. Adobe выпустила исправления, и статус уязвимости в базе данных ФСТЭК уже изменён на «устранённая». Всем администраторам систем на базе AEM настоятельно рекомендуется обратиться к официальному бюллетеню безопасности компании APSB25-115 и установить предоставленные обновления. Промедление с установкой патчей подвергает организацию серьёзному риску компрометации её публичного веб-ресурса, что может привести к дефейсу, утечке данных или использованию сайта для дальнейших атак на посетителей.
Данный инцидент в очередной раз подчёркивает важность своевременного цикла обновлений для всего корпоративного программного обеспечения, особенно для публично доступных веб-платформ. Эксперты по кибербезопасности рекомендуют не ограничиваться установкой патчей, но и проводить регулярный аудит безопасности веб-приложений для выявления и устранения подобных уязвимостей на ранних стадиях.
Ссылки
- https://bdu.fstec.ru/vul/2025-15564
- https://www.cve.org/CVERecord?id=CVE-2025-64539
- https://helpx.adobe.com/security/products/experience-manager/apsb25-115.html
