Adobe hat außerplanmäßige Sicherheitsupdates für zwei schwerwiegende Schwachstellen in Adobe Experience Manager Forms (AEM Forms) für Java Enterprise Edition veröffentlicht. Die Brisanz der Situation wird durch die Tatsache verschärft, dass für beide Sicherheitslücken bereits funktionsfähige Proof-of-Concept-Exploits öffentlich verfügbar sind, was das Risiko für Cyberangriffe erheblich erhöht.
Analyse der kritischen Schwachstellen
Die identifizierten Sicherheitslücken tragen die Bezeichnungen CVE-2025-54253 und CVE-2025-54254 mit CVSS-Bewertungen von 10.0 und 8.6 Punkten. Während die erste Schwachstelle die Ausführung beliebigen Codes ermöglicht, erlaubt die zweite unbefugten Zugriff auf Systemdateien.
Sicherheitsforscher von Searchlight Cyber (ehemals Assetnote) haben festgestellt, dass CVE-2025-54253 eine Kombination aus Authentication Bypass und fälschlicherweise aktiviertem Struts Development Mode im Administrationsbereich darstellt. Diese Konstellation schafft die Voraussetzungen für die Ausführung schädlicher OGNL-Ausdrücke (Object-Graph Navigation Language).
Technische Details der Remote Code Execution
Laut den Experten von Searchlight Cyber ist die Privilegieneskalation zur Remote Code Execution relativ unkompliziert umsetzbar, da verschiedene Sandbox-Bypass-Methoden zur Verfügung stehen. In produktiven Umgebungen müssen Angreifer jedoch Web Application Firewall (WAF) Schutzmaßnahmen überwinden, was zusätzliche Kreativität bei der Gestaltung der Payload in GET-Requests erfordert.
XXE-Schwachstelle ermöglicht Dateizugriff
CVE-2025-54254 wird als XXE-Schwachstelle (XML External Entity Reference) klassifiziert. Die Ursache liegt in der unsicheren Verarbeitung von XML-Dokumenten durch den Authentifizierungsmechanismus von AEM Forms, wodurch die Schwachstelle ohne vorherige Systemanmeldung ausnutzbar wird.
Zeitlicher Verlauf der Schwachstellenentdeckung
Der koordinierte Disclosure-Prozess begann im April 2025, als Searchlight Cyber Adobe über die entdeckten Probleme informierte. Bemerkenswert ist, dass zeitgleich eine weitere kritische Schwachstelle identifiziert wurde – CVE-2025-49533 mit einer Bewertung von 9.8 Punkten, die auf unsicherer Deserialisierung basiert und bereits im Juli behoben wurde.
Nach Einhaltung der standardmäßigen 90-tägigen Frist für Responsible Disclosure veröffentlichten die Forscher am 29. Juli technische Details und funktionsfähige Exploits für alle drei Schwachstellen.
Risikobewertung und Schutzmaßnahmen
Die Sicherheitsexperten von Searchlight Cyber betonen, dass die entdeckten Schwachstellen keine außergewöhnliche technische Komplexität aufweisen und typische Sicherheitsprobleme darstellen, die deutlich früher hätten erkannt werden müssen. Besonders überraschend ist dieser Umstand bei einem Produkt, das als ehemaliges LiveCycle bereits seit etwa zwei Jahrzehnten in Unternehmensumgebungen eingesetzt wird.
Als Sofortmaßnahme bis zur Installation der offiziellen Patches wird Administratoren dringend empfohlen, den Netzwerkzugang zu AEM Forms bei eigenständigen Implementierungen zu beschränken und die Überwachung verdächtiger Aktivitäten zu intensivieren.
Dieser Vorfall unterstreicht die entscheidende Bedeutung zeitnaher Updates für Unternehmenssysteme und die Notwendigkeit regelmäßiger Sicherheitsaudits bei Legacy-Produkten. Organisationen, die Adobe AEM Forms einsetzen, sollten die verfügbaren Patches umgehend implementieren und eine umfassende Infrastrukturbewertung hinsichtlich möglicher Kompromittierungen durchführen. Die Verfügbarkeit öffentlicher Exploits macht diese Schwachstellen zu einem bevorzugten Ziel für Cyberkriminelle, weshalb schnelles Handeln unerlässlich ist.
