Zero-day zraniteľnosti v produkte Adobe Experience Manager Forms on JEE
Spoločnosť Adobe vydala bezpečnostné aktualizácie na svoj produkt Adobe Experience Manager (AEM) Forms on JEE, ktoré opravujú dve kritické zero-day zraniteľnosti. Zraniteľnosti možno zneužiť na získanie neoprávneného prístupu k citlivým údajom, vzdialené vykonanie kódu a získanie úplnej kontroly nad systémom.
Zraniteľné systémy:
- Adobe Experience Manager (AEM) Forms on JEE vo verziách starších ako 6.5.0-0108
Opis zraniteľnosti:
CVE-2025-54253 (CVSS skóre 10,0)
Kritická zraniteľnosť spočíva miskonfigurácii administratívneho rozhrania, ktorá ponecháva aktívny vývojársky režim Struts. Zraniteľnosť možno zneužiť na vzdialené vykonanie kódu a získanie úplnej kontroly nad systémom.
CVE-2025-54254 (CVSS skóre 8,6)
Zraniteľnosť spočíva v nesprávnej reštrikcii externých referencií v rámci spracovávaných XML dokumentov. Vzdialený neautentifikovaný útočník by ju mohol zneužiť na realizáciu XXE (XML External Entity) útokov a čítanie obsahu súborov na súborovom systéme.
Pozn.: Na uvedené zraniteľnosti je v súčasnosti dostupný tzv. Proof of Concept kód demonštrujúci návod ich zneužitia.
Bližšie informácie o zraniteľnostiach môžete nájsť na stránkach bezpečnostných výskumníkov zo spoločnosti Searchlight Cyber, ktorí predmetnú zraniteľnosť objavili.
Možné škody:
- Vykonanie škodlivého kódu
- Neoprávnený prístup k citlivým údajom
Odporúčania:
Administrátorom a používateľom odporúčame vykonať bezodkladnú aktualizáciu AEM Forms on JEE na verziu 6.5.0-0108. Detailný návod na inštaláciu záplat v závislosti od používanej verzie produktu môžete nájsť online na stránke výrobcu.
Zdroje:
- https://helpx.adobe.com/security/products/aem-forms/apsb25-82.html
- https://experienceleague.adobe.com/en/docs/experience-manager-65/content/forms/troubleshooting/mitigating-xxe-and-configuration-vulnerabilities-for-experience-manager-forms-jee
- https://www.bleepingcomputer.com/news/security/adobe-issues-emergency-fixes-for-aem-forms-zero-days-after-pocs-released/