首页 抖音热门文章正文

最高严重程度的Adobe AEM Forms 漏洞(CVE-2025-54253)遭利用

抖音热门 2025年10月20日 15:22 0 admin

CISA(美国网络安全与基础设施安全局)已将CVE-2025-54253(Java 企业版 (JEE) 上的 Adobe Experience Manager (AEM) Forms 中的错误配置漏洞)添加到其已知被利用的漏洞目录中,以警告野外利用。

最高严重程度的Adobe AEM Forms 漏洞(CVE-2025-54253)遭利用


Adobe于 2025 年 8 月修复了该漏洞,同时修复的还有同一解决方案中的 XML 外部实体引用限制不当漏洞 CVE-2025-54254。


但由于此前这两个漏洞的概念验证 (PoC) 漏洞已经公开,攻击者试图利用它们只是时间问题。


CVE-2025-54253 允许远程代码执行


CVE-2025-54253 是 AEM Forms 中的一个配置错误,导致 Apache Struts 的“devMode”在管理界面中处于启用状态,从而绕过身份验证。它允许未经身份验证的攻击者运行 Struts 框架会执行的表达式,并可能导致远程代码执行。


它可以在不需要用户交互的低复杂度攻击中被利用。


该漏洞影响 JEE 版本 6.5.23.0 及更早版本的 Adobe Experience Manager (AEM) Forms。


研究人员 Shubham Shah 和 Adam Kues 报告了这两个漏洞并发布了 PoC ,此前他们曾解释称,Adobe Experience Manager Forms 可以与标准 AEM 安装一起部署,也可以独立部署在兼容 J2EE 的服务器上。


他们表示:“我们发现的漏洞主要适用于通过 J2EE 兼容服务器(如 JBoss)独立部署的 AEM Forms。”


由于当时没有可用的补丁,他们建议用户在将 Adobe Experience Manager Forms 作为独立应用程序部署时限制从互联网访问它。


但由于修复程序已经发布几个月了,并且鉴于已确认存在野外利用,用户应尽快升级到 6.5.0-0108 或更高版本。


CISA 已命令联邦民事行政部门 (FCEB) 机构在 2025 年 11 月 5 日之前修补其系统。


详细技术分析:

https://slcyber.io/assetnote-security-research-center/struts-devmode-in-2025-critical-pre-auth-vulnerabilities-in-adobe-experience-manager-forms/


Adobe官方安全公告:

https://experienceleague.adobe.com/en/docs/experience-manager-65/content/forms/troubleshooting/mitigating-xxe-and-configuration-vulnerabilities-for-experience-manager-forms-jee

相关文章

发表评论

长征号 Copyright © 2013-2024 长征号. All Rights Reserved.  sitemap