A Adobe lançou atualizações de emergência para duas falhas de dia zero no Adobe Experience Manager (AEM) Forms no JEE depois que uma cadeia de exploração de PoC foi divulgada que pode ser usada para execução remota de código não autenticada em instâncias vulneráveis.
As falhas são rastreadas como CVE-2025-54253 e CVE-2025-54254:
- CVE-2025-54253: Acesso Direto ao Computador Configuração incorreta que permite a execução de código arbitrário. Classificado como “Crítico” com uma pontuação CVSS de 8,6.
- CVE-2025-54254: Restrição inadequada de XML External Entity Reference (XXE) permitindo leitura arbitrária do sistema de arquivos. Classificado como “Crítico” com uma pontuação CVSS de gravidade máxima de 10,0.
A Adobe tem corrigidas as falhas nas versões mais recentes como descrito neste comunicado.
As vulnerabilidades foram descobertas por Shubham Shah e Adam Kues, da Searchlight Cyber, que as divulgaram à Adobe em 28 de abril de 2025, juntamente com uma terceira edição, CVE-2025-49533.
A Adobe corrigiu inicialmente o CVE-2025-49533 em 5 de agosto, deixando as outras duas falhas sem correção por mais de 90 dias.
Depois de alertar a Adobe sobre seu cronograma de divulgação, os pesquisadores publicaram um Redação técnica em 29 de julho, detalhando como as vulnerabilidades funcionam e como elas podem ser exploradas.
De acordo com os pesquisadores, CVE-2025-49533 é uma falha de desserialização Java no módulo FormServer que permite a execução remota de código (RCE) não autenticada. Um servlet processa dados fornecidos pelo usuário decodificando e desserializando-os sem validação, permitindo que invasores enviem cargas maliciosas para executar comandos no servidor.
A vulnerabilidade XXE, rastreada comoCVE-2025-54254,afeta um serviço da Web que lida com a autenticação SOAP. Ao enviar uma carga XML especialmente criada, os invasores podem induzir o serviço a expor arquivos locais, como win.ini, sem autenticação.
Por fim, a falha CVE-2025-54253 é causada por um desvio de autenticação no módulo /adminui em combinação com uma configuração de desenvolvedor mal configurada.
Os pesquisadores descobriram que o modo de desenvolvimento do Struts2 foi deixado habilitado por engano, permitindo que os invasores executassem expressões OGNL por meio de parâmetros de depuração enviados em solicitações HTTP.
Como as falhas permitem a execução remota de código em servidores vulneráveis, todos os administradores são aconselhados a instalar as atualizações e hotfixes mais recentes o mais rápido possível.
Se isso não for possível, os pesquisadores recomendam fortemente restringir o acesso à plataforma pela internet.
