CRITICAL🚩 CISA KEV⚡ EXPLOIT🇬🇧 English

CVE-2025-54253

RCE przez błędną konfigurację w Adobe Experience Manager Forms

CVSS 10.0v3.1pub. 2025-08-05upd. 2025-10-23

Adobe Experience Manager Forms w wersjach 6.5.23 i wcześniejszych zawiera podatność wynikającą z błędnej konfiguracji (misconfiguration), umożliwiającą zdalne wykonanie dowolnego kodu bez uwierzytelnienia. Podatność jest aktywnie exploitowana i uzyskała maksymalny wynik CVSS 10.0.

Pokaż oryginał (EN)

Adobe Experience Manager versions 6.5.23 and earlier are affected by a Misconfiguration vulnerability that could result in arbitrary code execution. An attacker could leverage this vulnerability to bypass security mechanisms and execute code. Exploitation of this issue does not require user interaction and scope is changed.

🤖 Analiza AI
Jak działa

Atakujący zdalnie, bez konieczności posiadania konta ani interakcji ze strony użytkownika, może wykorzystać błędną konfigurację systemu do ominięcia mechanizmów bezpieczeństwa. Pomyślne wykorzystanie podatności skutkuje zmianą zakresu oddziaływania (scope changed), co oznacza, że skutki ataku mogą wykraczać poza bezpośrednio podatny komponent. Pozwala to na wykonanie dowolnego kodu po stronie serwera z potencjalnie szerokimi uprawnieniami.

Skutki

Atakujący może przejąć pełną kontrolę nad podatnym serwerem poprzez zdalne wykonanie dowolnego kodu (RCE), co zagraża poufności, integralności i dostępności systemu oraz danych w nim przechowywanych.

Mitygacja

Należy niezwłocznie zastosować patche dostępne u producenta zgodnie z biuletynem bezpieczeństwa Adobe APSB25-82 (https://helpx.adobe.com/security/products/aem-forms/apsb25-82.html). Ze względu na aktywne exploitowanie w środowisku produkcyjnym aktualizacja powinna zostać wykonana priorytetowo.

Kogo dotyczy

Adobe Experience Manager Forms w wersjach 6.5.23 i wcześniejszych.

Uwagi

Podatność jest powiązana z mechanizmem Apache Struts Developer Mode, co wskazuje analiza opublikowana przez SLC Cyber (Assetnote Security Research Center) dostępna w referencjach. Podatność figuruje w katalogu CISA Known Exploited Vulnerabilities, co potwierdza jej aktywne wykorzystywanie w środowiskach produkcyjnych.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
  • Adobe Experience Manager Forms

    APP
    Adobe
    ≤ 6.5.23.0

CISA KEV — szczegółyi

Dostawcai
Adobe
Produkti
Experience Manager (AEM) Forms
Data dodania do KEVi
15 października 2025
Termin remediation (USA)i
5 listopada 2025(po terminie)
Wymagana akcja (CISA)i

Zastosuj mitygacje zgodnie z instrukcjami producenta, postępuj zgodnie z wytycznymi BOD 22-01 dla usług w chmurze lub zaprzestań używania produktu, jeśli mitygacje są niedostępne.

tłumaczenie AI
Pokaż oryginał (EN)

Apply mitigations per vendor instructions, follow applicable BOD 22-01 guidance for cloud services, or discontinue use of the product if mitigations are unavailable.

Opis CISAi

Luka w Adobe Experience Manager Forms in JEE pozwala na arbitralne wykonywanie kodu.

tłumaczenie AI
Pokaż oryginał (EN)

Adobe Experience Manager Forms in JEE contains an unspecified vulnerability that allows for arbitrary code execution.

🔴
NATYCHMIASTOWE DZIAŁANIE
Aktywnie wykorzystywane w atakach (CISA KEV). Załataj jak najszybciej.
CISA DEADLINE: 5 listopada 2025
Tagi
RCE
CWE
Referencje

Powiązane podatności

CVE-2020-9732CRITICAL9.0ten sam produkt

The AEM Forms add-on for versions 6.5.5.0 (and below) and 6.4.8.2 (and below) are affected by a stored XSS vul...

CVE-2025-54254HIGH8.6ten sam produkt

Adobe Experience Manager versions 6.5.23 and earlier are affected by an Improper Restriction of XML External E...

CVE-2020-9733HIGH7.5ten sam produkt

An AEM java servlet in AEM versions 6.5.5.0 (and below) and 6.4.8.1 (and below) executes with the permissions ...

CVE-2017-3067HIGH7.5ten sam produkt

Adobe Experience Manager Forms versions 6.2, 6.1, 6.0 have an information disclosure vulnerability resulting f...

CVE-2019-8089MEDIUM6.1ten sam produkt

Adobe Experience Manager Forms versions 6.3-6.5 have a reflected cross-site scripting vulnerability. Successfu...