Adobe выпустила экстренные обновления безопасности для платформы Adobe Experience Manager (AEM) Forms на Java Enterprise Edition (JEE) после обнаружения двух критических уязвимостей нулевого дня. Эти бреши, получившие высшие оценки опасности, позволяют злоумышленникам выполнять произвольный код и читать конфиденциальные файлы на атакуемых системах без необходимости аутентификации.
Детали уязвимостей
Исследователи компании Assetnote Шубхам Шах и Адам Кьюс идентифицировали два отдельных, но одинаково опасных недостатка. Первая уязвимость, зарегистрированная под идентификатором CVE-2025-54253, получила максимально возможную оценку 10.0 по шкале CVSS 3.1. Она классифицируется как опасная ошибка конфигурации, напрямую позволяющая выполнение произвольного кода на сервере. Вектор атаки CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H указывает на возможность сетевой эксплуатации низкой сложности без каких-либо привилегий или взаимодействия с пользователем, приводящую к полному компрометированию конфиденциальности, целостности и доступности системы с последствиями для других связанных компонентов (Scope: Changed).
Вторая уязвимость, CVE-2025-54254, оценена в 8.6 баллов CVSS и представляет собой классическую проблему типа XXE (Improper Restriction of XML External Entity Reference). Ее эксплуатация позволяет злоумышленникам читать произвольные файлы из файловой системы сервера. Вектор CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:N/A:N подтверждает сетевой вектор атаки, низкую сложность эксплуатации и критическое воздействие на конфиденциальность хранимых данных, таких как конфигурационные файлы, учетные данные и другая чувствительная информация.
Затронутые версии и риски
Обе уязвимости затрагивают Adobe Experience Manager Forms на JEE версии 6.5.23.0 и все более ранние релизы на всех поддерживаемых платформах. Компания Adobe подтвердила, что доказательства концептуальной эксплуатации (Proof-of-Concept, PoC) для этих уязвимостей уже находятся в открытом доступе. Это значительно повышает риск их оперативного использования злоумышленниками в реальных атаках, несмотря на то, что на момент выпуска патчей активных инцидентов эксплуатации в "дикой природе" зафиксировано не было.
Реакция Adobe и рекомендации
В ответ на обнаружение Adobe присвоила выпущенным обновлениям наивысший приоритет развертывания - Priority 1. Это означает, что компания настоятельно рекомендует всем затронутым организациям установить патчи немедленно, без задержек. Корректирующее обновление версии 6.5.0-0108 содержит комплексные исправления для обеих уязвимостей. Подробные инструкции по установке и обновлению доступны в документации Adobe Experience League.
Adobe публично поблагодарила исследователей Шаха и Кьюса, отметив, что уязвимости были выявлены и ответственно сообщены через ее частную программу Bug Bounty на платформе HackerOne. Компания подчеркивает свою приверженность скоординированному раскрытию уязвимостей и продолжает принимать отчеты о проблемах безопасности через свои специализированные, преимущественно инвайт-онли, программы для исследователей.
Значение и необходимые действия
Обнаружение этих уязвимостей вновь подчеркивает сохраняющиеся серьезные проблемы безопасности в корпоративных системах управления контентом, особенно в таких комплексных решениях, как AEM Forms, которые часто обрабатывают высокочувствительные бизнес-данные и персональную информацию. Наличие публичных PoC делает эти конкретные уязвимости крайне привлекательными мишенями для киберпреступников, стремящихся к быстрому получению несанкционированного доступа.
Системным администраторам и ИТ-специалистам организаций, использующих затронутые версии Adobe AEM Forms на JEE, настоятельно рекомендуется:
- Немедленно установить обновление до версии 6.5.0-0108, следуя официальным инструкциям Adobe. Промедление с установкой патча создает критическое окно уязвимости.
- Провести тщательную проверку своих инсталляций AEM Forms на предмет возможных признаков компрометации, особенно учитывая возможности уязвимостей по чтению файлов и выполнению кода.
- Пересмотреть общие настройки безопасности развертываний AEM Forms, чтобы обеспечить соответствие лучшим практикам и минимизировать риски от будущих уязвимостей. Особое внимание следует уделить конфигурации, связанной с обработкой XML и удаленным вызовам.
Отсутствие необходимости в аутентификации для эксплуатации CVE-2025-54253 делает эту уязвимость особенно опасной, так как атака может быть проведена удаленно любым злоумышленником, знающим адрес уязвимого сервера. Своевременное обновление остается ключевой мерой защиты корпоративных инфраструктур от потенциально разрушительных последствий.
Ссылки
- https://helpx.adobe.com/security/products/aem-forms/apsb25-82.html
- https://www.cve.org/CVERecord?id=CVE-2025-54254
- https://www.cve.org/CVERecord?id=CVE-2025-54253
