Adobe已于2025年8月修复了该漏洞,同时修复的还有CVE-2025-54254——同一解决方案中存在的XML外部实体引用限制不当漏洞。
然而,由于这两个漏洞的概念验证(PoC) exploit在修复前已被公开,攻击者尝试利用它们只是时间问题。
尽管如此,目前尚不清楚为何只有CVE-2025-54253被添加到KEV目录,以及攻击者是否以公开PoC exploit为基础开发了自己的攻击工具。遗憾的是,CISA未在KEV目录中包含任何有关攻击的具体信息。
CVE-2025-54253:允许远程代码执行
CVE-2025-54253是AEM Forms中的配置错误,导致管理界面中Apache Struts的“devMode”被启用,并存在认证绕过漏洞。这使得未认证攻击者可运行Struts框架将解析的表达式,进而导致远程代码执行(RCE)。
该漏洞可通过低复杂度攻击利用,且无需用户交互。
受影响的版本为Adobe Experience Manager (AEM) Forms on JEE 6.5.23.0及更早版本。
研究人员Shubham Shah和Adam Kues报告了这两个漏洞,并在Adobe未能在90天内修复后发布了PoC exploit。他们此前解释,Adobe Experience Manager Forms可与标准AEM安装共同部署,或在J2EE兼容服务器上独立部署。
他们表示:“我们发现的漏洞主要适用于通过JBoss等J2EE兼容服务器独立部署的AEM Forms。”
由于当时补丁尚未发布,他们建议用户在独立部署AEM Forms时限制其从互联网访问。
但目前修复程序已发布数月,且漏洞已被确认在野外利用,用户应立即升级至6.5.0-0108或更高版本。
CISA已下令联邦民事执行部门(FCEB)机构在2025年11月5日前完成系统补丁部署。
发表评论
您还未登录,请先登录。
登录