Adobe ha emitido actualizaciones de seguridad urgentes para abordar dos vulnerabilidades críticas en Adobe Experience Manager Forms (AEM Forms) para Java Enterprise Edition. La situación se vuelve especialmente preocupante debido a que ambas vulnerabilidades cuentan con exploits públicos de prueba de concepto, elevando significativamente el riesgo de explotación por parte de ciberdelincuentes.
Análisis de las Vulnerabilidades Críticas Identificadas
Las vulnerabilidades han sido catalogadas como CVE-2025-54253 y CVE-2025-54254, con puntuaciones CVSS de 10.0 y 8.6 respectivamente. La primera permite la ejecución remota de código arbitrario, mientras que la segunda facilita la lectura no autorizada de archivos del sistema.
Los investigadores de Searchlight Cyber (anteriormente Assetnote) determinaron que CVE-2025-54253 constituye una combinación peligrosa de bypass de autenticación y activación incorrecta del modo de desarrollo Struts en la interfaz administrativa. Esta combinación crea un vector de ataque que permite la ejecución de expresiones OGNL (Object-Graph Navigation Language) maliciosas.
Mecanismo de Explotación de CVE-2025-54253
Según el análisis técnico de Searchlight Cyber, la escalación de privilegios hacia ejecución remota de código resulta relativamente sencilla debido a múltiples métodos disponibles para eludir las protecciones sandbox. Sin embargo, en entornos de producción, los atacantes deberán superar las defensas de Web Application Firewall (WAF), requiriendo técnicas sofisticadas de ofuscación en las cargas útiles de solicitudes GET.
Vulnerabilidad XXE en Procesamiento XML
CVE-2025-54254 se clasifica como una vulnerabilidad XXE (XML External Entity Reference). El problema radica en el procesamiento inseguro de documentos XML por parte del mecanismo de autenticación de AEM Forms, permitiendo la explotación sin necesidad de autenticación previa en el sistema objetivo.
Cronología del Descubrimiento y Divulgación Responsable
El proceso de divulgación coordinada comenzó en abril de 2025, cuando los analistas de Searchlight Cyber notificaron a Adobe sobre las vulnerabilidades descubiertas. Paralelamente, se identificó una tercera vulnerabilidad crítica – CVE-2025-49533 con puntuación 9.8, relacionada con deserialización de datos no confiables, que fue parcheada en julio.
Siguiendo las mejores prácticas de divulgación responsable, los investigadores respetaron el período estándar de 90 días antes de publicar los detalles técnicos y exploits funcionales el 29 de julio, proporcionando tiempo suficiente para que Adobe desarrollara y distribuyera las correcciones necesarias.
Evaluación de Riesgos y Medidas de Mitigación
Los expertos de Searchlight Cyber señalan que las vulnerabilidades identificadas no presentan complejidad técnica excepcional y representan fallas de seguridad comunes que deberían haber sido detectadas en fases tempranas del desarrollo. Resulta particularmente sorprendente considerando que este producto, anteriormente conocido como LiveCycle, ha estado en uso empresarial durante aproximadamente dos décadas.
Como medida de protección temporal mientras se implementan los parches oficiales, los administradores deben restringir inmediatamente el acceso de red a AEM Forms en implementaciones independientes e intensificar la monitorización de actividades sospechosas en sus entornos.
Este incidente subraya la importancia crítica de mantener actualizados los sistemas empresariales y la necesidad de auditorías regulares de seguridad en productos legacy. Las organizaciones que utilizan Adobe AEM Forms deben aplicar inmediatamente los parches disponibles y realizar una evaluación integral de su infraestructura para detectar posibles indicadores de compromiso. La disponibilidad pública de exploits funcionales convierte esta actualización en una prioridad máxima para cualquier entorno que ejecute estas versiones vulnerables.