Zero-day zraniteľnosti v produkte Adobe Experience Manager Forms on JEE

Spoločnosť Adobe vydala bezpečnostné aktualizácie na svoj produkt Adobe Experience Manager (AEM) Forms on JEE, ktoré opravujú dve kritické zero-day zraniteľnosti. Zraniteľnosti možno zneužiť na získanie neoprávneného prístupu k citlivým údajom, vzdialené vykonanie kódu a získanie úplnej kontroly nad systémom.

Zraniteľné systémy:

  • Adobe Experience Manager (AEM) Forms on JEE vo verziách starších ako 6.5.0-0108

Opis zraniteľnosti:

CVE-2025-54253 (CVSS skóre 10,0)

Kritická zraniteľnosť spočíva miskonfigurácii administratívneho rozhrania, ktorá ponecháva aktívny vývojársky režim Struts. Zraniteľnosť možno zneužiť na vzdialené vykonanie kóduzískanie úplnej kontroly nad systémom.

CVE-2025-54254 (CVSS skóre 8,6)

Zraniteľnosť spočíva v nesprávnej reštrikcii externých referencií v rámci spracovávaných XML dokumentov. Vzdialený neautentifikovaný útočník by ju mohol zneužiť na realizáciu XXE (XML External Entity) útokovčítanie obsahu súborov na súborovom systéme.

Pozn.: Na uvedené zraniteľnosti je v súčasnosti dostupný tzv. Proof of Concept kód demonštrujúci návod ich zneužitia.

Bližšie informácie o zraniteľnostiach môžete nájsť na stránkach bezpečnostných výskumníkov zo spoločnosti Searchlight Cyber, ktorí predmetnú zraniteľnosť objavili.

Možné škody:

  • Vykonanie škodlivého kódu
  • Neoprávnený prístup k citlivým údajom

Odporúčania:

Administrátorom a používateľom odporúčame vykonať bezodkladnú aktualizáciu AEM Forms on JEE na verziu 6.5.0-0108. Detailný návod na inštaláciu záplat v závislosti od používanej verzie produktu môžete nájsť online na stránke výrobcu.

Zdroje:

https://helpx.adobe.com/security/products/aem-forms/apsb25-82.html

https://experienceleague.adobe.com/en/docs/experience-manager-65/content/forms/troubleshooting/mitigating-xxe-and-configuration-vulnerabilities-for-experience-manager-forms-jee

https://www.bleepingcomputer.com/news/security/adobe-issues-emergency-fixes-for-aem-forms-zero-days-after-pocs-released/