A Adobe lançou atualizações emergenciais para duas falhas de segurança "zero-day" no Adobe Experience Manager (AEM) Forms on JEE, após a divulgação de uma cadeia de exploit PoC que pode ser usada para execução remota de código não autenticada em instâncias vulneráveis.
As falhas são rastreadas como
CVE-2025-54253
e
CVE-2025-54254
:
CVE-2025-54253
: Má configuração que permite execução arbitrária de código.
Classificada como "Crítica" com uma pontuação CVSS de 8.6.
CVE-2025-54254
: Restrição inadequada de Referência de Entidade Externa XML (XXE) que permite leitura arbitrária do sistema de arquivos.
Classificada como "Crítica" com uma pontuação CVSS de severidade máxima de 10.0.
A Adobe corrigiu as falhas nas últimas versões, conforme descrito neste aviso.
As vulnerabilidades foram descobertas por Shubham Shah e Adam Kues da Searchlight Cyber, que as divulgaram para a Adobe em 28 de abril de 2025, juntamente com uma terceira questão,
CVE-2025-49533
.
A Adobe inicialmente corrigiu o
CVE-2025-49533
em 5 de agosto, deixando as outras duas falhas sem correção por mais de 90 dias.
Após alertar a Adobe sobre seu cronograma de divulgação, os pesquisadores publicaram um relatório técnico em 29 de julho detalhando como as vulnerabilidades funcionam e como podem ser exploradas.
Segundo os pesquisadores, o
CVE-2025-49533
é uma falha de deserialização Java no módulo FormServer que permite execução remota de código (RCE) não autenticada.
Um servlet processa dados fornecidos pelo usuário, decodificando e deserializando sem validação, permitindo que atacantes enviem payloads maliciosos para executar comandos no servidor.
A vulnerabilidade XXE, rastreada como
CVE-2025-54254
, afeta um serviço web que lida com autenticação SOAP.
Ao submeter um payload XML especialmente criada, os atacantes podem enganar o serviço para expor arquivos locais, como win.ini, sem autenticação.
Finalmente, a falha
CVE-2025-54253
é causada por uma violação de autenticação no módulo /adminui combinada com uma configuração de desenvolvedor mal configurada.
Os pesquisadores descobriram que o modo de desenvolvimento do Struts2 foi deixado habilitado por engano, permitindo que os atacantes executassem expressões OGNL por meio de parâmetros de depuração enviados em requisições HTTP.
Como as falhas permitem a execução remota de código em servidores vulneráveis, todos os administradores são aconselhados a instalar as últimas atualizações e correções o mais rápido possível.
Se isso não for possível, os pesquisadores recomendam fortemente restringir o acesso à plataforma a partir da internet.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...