A Adobe lançou atualizações emergenciais para duas falhas de segurança "zero-day" no Adobe Experience Manager (AEM) Forms on JEE, após a divulgação de uma cadeia de exploit PoC que pode ser usada para execução remota de código não autenticada em instâncias vulneráveis.
As falhas são rastreadas como
CVE-2025-54253
e
CVE-2025-54254
:
CVE-2025-54253
: Má configuração que permite execução arbitrária de código.
Classificada como "Crítica" com uma pontuação CVSS de 8.6.
CVE-2025-54254
: Restrição inadequada de Referência de Entidade Externa XML (XXE) que permite leitura arbitrária do sistema de arquivos.
Classificada como "Crítica" com uma pontuação CVSS de severidade máxima de 10.0.
A Adobe corrigiu as falhas nas últimas versões, conforme descrito neste aviso.
As vulnerabilidades foram descobertas por Shubham Shah e Adam Kues da Searchlight Cyber, que as divulgaram para a Adobe em 28 de abril de 2025, juntamente com uma terceira questão,
CVE-2025-49533
.
A Adobe inicialmente corrigiu o
CVE-2025-49533
em 5 de agosto, deixando as outras duas falhas sem correção por mais de 90 dias.
Após alertar a Adobe sobre seu cronograma de divulgação, os pesquisadores publicaram um relatório técnico em 29 de julho detalhando como as vulnerabilidades funcionam e como podem ser exploradas.
Segundo os pesquisadores, o
CVE-2025-49533
é uma falha de deserialização Java no módulo FormServer que permite execução remota de código (RCE) não autenticada.
Um servlet processa dados fornecidos pelo usuário, decodificando e deserializando sem validação, permitindo que atacantes enviem payloads maliciosos para executar comandos no servidor.
A vulnerabilidade XXE, rastreada como
CVE-2025-54254
, afeta um serviço web que lida com autenticação SOAP.
Ao submeter um payload XML especialmente criada, os atacantes podem enganar o serviço para expor arquivos locais, como win.ini, sem autenticação.
Finalmente, a falha
CVE-2025-54253
é causada por uma violação de autenticação no módulo /adminui combinada com uma configuração de desenvolvedor mal configurada.
Os pesquisadores descobriram que o modo de desenvolvimento do Struts2 foi deixado habilitado por engano, permitindo que os atacantes executassem expressões OGNL por meio de parâmetros de depuração enviados em requisições HTTP.
Como as falhas permitem a execução remota de código em servidores vulneráveis, todos os administradores são aconselhados a instalar as últimas atualizações e correções o mais rápido possível.
Se isso não for possível, os pesquisadores recomendam fortemente restringir o acesso à plataforma a partir da internet.
Publicidade
Mantenha seus dados longe de hackers e ameaças digitais com a NordVPN, uma das mais rápidas e seguras do mundo. Com tecnologia de criptografia avançada, você protege até 10 dispositivos e ainda conta com recursos poderosos como bloqueio de malware, monitoramento da dark web e backup criptografado. Aproveite até 70% de desconto e experimente com garantia de reembolso de 30 dias. Segurança digital nunca foi tão fácil e eficiente. Saiba mais...