CISA adiciona vulnerabilidade crítica no AEM CVSS 10.0
16 de Outubro de 2025

A Agência de Segurança Cibernética e Infraestrutura dos Estados Unidos (CISA) adicionou, na última quarta-feira, uma vulnerabilidade crítica que afeta o Adobe Experience Manager ao seu catálogo Known Exploited Vulnerabilities (KEV), devido a evidências de exploração ativa em ambientes reais.

Trata-se da falha CVE-2025-54253 , classificada com a máxima severidade, pontuada em 10,0 pelo CVSS.

Essa vulnerabilidade resulta de uma falha de configuração que pode permitir a execução arbitrária de código no sistema afetado.

Segundo a Adobe, o problema compromete o Adobe Experience Manager (AEM) Forms nas versões JEE 6.5.23.0 e anteriores.

A correção foi disponibilizada na versão 6.5.0-0108, lançada no início de agosto de 2025, juntamente com o patch para a falha CVE-2025-54254 , que recebeu pontuação CVSS 8,6.

A vulnerabilidade decorre da exposição insegura do servlet /adminui/debug, que interpreta expressões OGNL fornecidas pelo usuário como código Java, sem exigir autenticação ou validação de entrada, conforme detalha a empresa de segurança FireCompass.

Essa falha permite que invasores executem comandos arbitrários no sistema por meio de uma única requisição HTTP cuidadosamente forjada.

Até o momento, não há informações públicas sobre como a vulnerabilidade está sendo explorada em ataques reais.

No entanto, a Adobe confirmou em seu comunicado que provas de conceito públicas para as falhas CVE-2025-54253 e CVE-2025-54254 já estão disponíveis.

Diante da exploração ativa, a CISA recomenda que as agências do Federal Civilian Executive Branch (FCEB) apliquem os patches necessários até 5 de novembro de 2025.

Esse anúncio ocorre um dia após a CISA incluir no catálogo KEV uma vulnerabilidade crítica de autenticação inadequada no SKYSEA Client View ( CVE-2016-7836 ), que possui pontuação CVSS 9,8.

Conforme nota divulgada em 2016 pelo Japan Vulnerability Notes (JVN), ataques explorando essa falha já foram registrados em ambientes reais.

A agência explica que o SKYSEA Client View apresenta uma vulnerabilidade no processo de autenticação via conexão TCP com o programa de console de gerenciamento, permitindo a execução remota de código.

Publicidade

Proteja sua empresa contra hackers através de um Pentest

Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...