Компания Adobe выпустила внеплановые обновления безопасности для устранения двух критических уязвимостей в Adobe Experience Manager Forms (AEM Forms) для Java Enterprise Edition. Особую тревогу вызывает тот факт, что для обеих брешей уже существуют публично доступные proof-of-concept эксплоиты, что значительно повышает риск их эксплуатации злоумышленниками.
Детали критических уязвимостей AEM Forms
Обнаруженные уязвимости получили идентификаторы CVE-2025-54253 и CVE-2025-54254 с оценками критичности 10.0 и 8.6 баллов по шкале CVSS соответственно. Первая уязвимость позволяет выполнить произвольный код в системе, в то время как вторая дает возможность несанкционированного чтения файлов.
Исследователи из компании Searchlight Cyber (ранее Assetnote) выявили, что CVE-2025-54253 представляет собой комбинацию обхода аутентификации и неправильно активированного режима разработки Struts в административном интерфейсе. Данная комбинация создает условия для выполнения вредоносных OGNL-выражений (Object-Graph Navigation Language).
Механизм эксплуатации первой уязвимости
По словам специалистов Searchlight Cyber, эскалация привилегий до удаленного выполнения кода не представляет значительной сложности благодаря множеству доступных методов обхода песочницы. Однако в реальных условиях атакующим может потребоваться обойти защитные механизмы WAF, что требует дополнительной изобретательности при формировании полезной нагрузки в GET-запросах.
Вторая уязвимость типа XXE
CVE-2025-54254 классифицируется как уязвимость типа XXE (XML External Entity Reference). Проблема кроется в небезопасной обработке XML-документов механизмом аутентификации AEM Forms, что позволяет эксплуатировать уязвимость без предварительной аутентификации в системе.
Хронология обнаружения и раскрытия
Процесс координированного раскрытия уязвимостей начался в апреле 2025 года, когда аналитики Searchlight Cyber уведомили Adobe о найденных проблемах. Интересно отметить, что одновременно была обнаружена еще одна критическая уязвимость — CVE-2025-49533 с оценкой 9.8 баллов, связанная с десериализацией недоверенных данных, которая была устранена в июле.
Следуя принципам ответственного раскрытия, исследователи выждали стандартный 90-дневный период и 29 июля опубликовали технические детали и рабочие эксплоиты для всех трех уязвимостей.
Экспертная оценка и рекомендации
Специалисты Searchlight Cyber отмечают, что обнаруженные уязвимости не отличаются особой сложностью и представляют собой типичные проблемы безопасности, которые должны были быть выявлены значительно раньше. Особенно удивительным является тот факт, что продукт, ранее известный как LiveCycle, используется в корпоративной среде уже около двух десятилетий.
В качестве временной меры защиты до установки официальных патчей администраторам настоятельно рекомендуется ограничить сетевой доступ к AEM Forms в автономных развертываниях и усилить мониторинг подозрительной активности.
Данный инцидент подчеркивает критическую важность своевременного обновления корпоративных систем и необходимость регулярного аудита безопасности устаревших продуктов. Организациям, использующим Adobe AEM Forms, следует незамедлительно применить выпущенные патчи и провести комплексную оценку своей инфраструктуры на предмет возможных компрометаций.
