A Adobe lançou atualizações de segurança críticas para o Adobe Experience Manager (AEM) Forms no Java Enterprise Edition após a descoberta de duas vulnerabilidades graves que podem permitir que invasores executem código arbitrário e leiam arquivos confidenciais dos sistemas afetados.
Falhas críticas de segurança descobertas
Os pesquisadores de segurança Shubham Shah e Adam Kues, da Assetnote, identificaram duas vulnerabilidades críticas no conteúdo corporativo da Adobe gestão plataforma.
CVE-2025-54253, com pontuação máxima de 10,0 no Common Vulnerability Scoring System (CVSS), representa uma falha de configuração incorreta que permite a execução arbitrária de código.
A segunda vulnerabilidade, CVE-2025-54254, possui uma pontuação CVSS de 8,6 e explora restrições inadequadas de referência XML External Entity (XXE) para permitir o acesso não autorizado ao sistema de arquivos.
As vulnerabilidades afetam o Adobe Experience Manager Forms no JEE versão 6.5.23.0 e todas as versões anteriores em todas as plataformas.
| Número CVE | CVE-2025-54254 | CVE-2025-54253 |
| Tipo de vulnerabilidade | Restrição inadequada de referência de entidade externa XML (‘XXE’) | Errada |
| Impacto | Leitura arbitrária do sistema de arquivos | Execução de código arbitrário |
| Severidade | Crítico | Crítico |
| Pontuação básica CVSS | 8.6 | 10.0 |
A Adobe confirmou que as explorações de prova de conceito para ambas as vulnerabilidades estão disponíveis publicamente, aumentando significativamente o risco de possíveis ataques.
No entanto, a empresa afirmou que não observou esses Vulnerabilidades sendo ativamente explorado na natureza.
A Adobe categorizou essas atualizações com o status de Prioridade 1, sua classificação de segurança mais alta, enfatizando a necessidade urgente de as organizações aplicarem patches imediatamente.
A empresa lançou a versão 6.5.0-0108 como uma correção abrangente para ambas as vulnerabilidades, com instruções detalhadas de atualização disponíveis na documentação da Experience League da Adobe.
A vulnerabilidade de configuração incorreta CVE-2025-54253representa a ameaça mais grave, permitindo que invasores remotos executem código arbitrário sem exigir autenticação ou interação do usuário.
Seu vetor CVSS (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H) indica ataques baseados em rede com baixa complexidade e alto impacto na confidencialidade, integridade e disponibilidade.
Enquanto isso,CVE-2025-54254explora vulnerabilidades XXE para permitir leituras arbitrárias do sistema de arquivos, potencialmente expondo arquivos de configuração confidenciais, credenciais e outros dados críticos.
Essa vulnerabilidade carrega o vetor CVSS CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:N/A:N, indicando alto impacto de confidencialidade por meio de ataques baseados em rede.
Essas vulnerabilidades destacam os desafios contínuos de segurança nos sistemas de gerenciamento de conteúdo corporativo, especialmente aqueles que lidam com dados comerciais confidenciais.
As organizações que usam o Adobe AEM Forms devem avaliar imediatamente sua exposição e priorizar a implantação de patches para evitar possíveis comprometimentos.
Adobe reconheceu os pesquisadores por meio de seu programa privado de recompensas por bugs com a HackerOne, demonstrando o compromisso da empresa com a divulgação coordenada de vulnerabilidades.
A empresa continua a aceitar envios de pesquisas de segurança por meio de seu programa somente para convidados, incentivando a divulgação responsável de futuros problemas de segurança.
Os administradores do sistema devem implementar as atualizações de segurança imediatamente e revisar suas configurações do AEM Forms para garantir que os controles de segurança adequados estejam em vigor.
A disponibilidade de código público de prova de conceito torna essas vulnerabilidades alvos particularmente atraentes para agentes mal-intencionados.
The Ultimate SOC-as-a-Service Pricing Guide for 2025–Baixe de graça