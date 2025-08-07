Компания Adobe выпустила внеплановые патчи, которые устраняют две серьезные уязвимости в Adobe Experience Manager Forms (AEM Forms) в Java Enterprise Edition (JEE), для которых уже доступны публичные эксплоиты.

Уязвимости получили идентификаторы CVE-2025-54253 (максимальные 10 баллов по шкале CVSS) и CVE-2025-54254 (8,6 балла по шкале CVSS). Эти баги могли использоваться для выполнения произвольного кода или чтения произвольных файлов в системе.

«Adobe известно, что для CVE-2025-54253 и CVE-2025-54254 уже публично доступны proof-of-concept эксплоиты. У Adobe нет информации об использовании этих проблем в реальных атаках», — отмечается в сообщении компании.

Разработчики выразили благодарность за обнаружение уязвимостей специалистам компании Assetnote (приобретенной Searchlight Cyber в январе 2025 года).

Adobe описывает CVE-2025-54253 как ошибку, связанную с неправильной конфигурацией, но исследователи Searchlight Cyber объясняют, что уязвимость сочетает в себе обход аутентификации и ошибочно включенный режим разработки Struts в интерфейсе администратора. Это сочетание позволяет создать полезную нагрузку, приводящую к выполнению выражений Object-Graph Navigation Language (OGNL).

«Эскалировать уязвимость до удаленного выполнения кода не составляет труда — в открытом доступе существует множество решений для обхода песочницы. В нашем случае пришлось иметь дело с довольно сложным WAF, и поскольку полезная нагрузка находилась в первой строке GET-запроса, пришлось проявить изобретательность, чтобы добиться RCE», — рассказывают в Searchlight Cyber.

Вторая уязвимость, CVE-2025-54254, описывается как проблема типа XXE (XML External Entity Reference). Она возникает из-за того, что механизм аутентификации в AEM Forms загружает XML-документы небезопасным образом, что позволяет использовать баг без аутентификации.

Аналитики Searchlight Cyber уведомили Adobe об уязвимостях в апреле 2025 года, одновременно с CVE-2025-49533 (9,8 балла по шкале CVSS) — критической уязвимостью десериализации недоверенных данных, устраненной в июле.

29 июля, выждав положенные 90 дней, специалисты Searchlight Cyber опубликовали технические детали и PoC-эксплоиты для всех трех уязвимостей, призвав администраторов ограничить доступ к AEM Forms в автономных (standalone) развертываниях.