Adobe оголосила про випуск позапланових оновлень безпеки для усунення двох критичних вразливостей у Adobe Experience Manager Forms (AEM Forms) версії Java Enterprise Edition. Ситуація набуває особливої гостроти через наявність публічно доступних proof-of-concept експлойтів, що значно підвищує ймовірність активної експлуатації цих брешей кіберзлочинцями.
Аналіз критичних вразливостей безпеки
Виявлені вразливості отримали ідентифікатори CVE-2025-54253 та CVE-2025-54254 з максимальними оцінками критичності 10.0 та 8.6 балів за шкалою CVSS відповідно. Перша вразливість дозволяє виконання довільного коду в системі, тоді як друга надає можливість несанкціонованого читання конфіденційних файлів.
Дослідження, проведене фахівцями компанії Searchlight Cyber, показало, що CVE-2025-54253 являє собою комбінацію обходу автентифікації та неправильно активованого режиму розробки Struts в адміністративному інтерфейсі. Така комбінація створює умови для виконання шкідливих OGNL-виразів (Object-Graph Navigation Language).
Техніка експлуатації CVE-2025-54253
За даними експертів Searchlight Cyber, ескалація привілеїв до віддаленого виконання коду не становить значної складності завдяки численним доступним методам обходу захисної “пісочниці”. Проте в реальних умовах атакуючим може знадобитися обійти захисні механізми WAF, що вимагає додаткової винахідливості при формуванні корисного навантаження в GET-запитах.
Особливості XXE-вразливості CVE-2025-54254
Друга вразливість класифікується як XXE (XML External Entity Reference) та полягає в небезпечній обробці XML-документів механізмом автентифікації AEM Forms. Критичним аспектом є можливість експлуатації без попередньої автентифікації в системі, що робить атаку доступною для будь-якого зловмисника з мережевим доступом.
Хронологія виявлення та координованого розкриття
Процес відповідального розкриття вразливостей розпочався у квітні 2025 року, коли аналітики Searchlight Cyber повідомили Adobe про виявлені проблеми. Паралельно була знайдена ще одна критична вразливість – CVE-2025-49533 з оцінкою 9.8 балів, пов’язана з десеріалізацією ненадійних даних, яку було усунуто в липні.
Дотримуючись стандартного 90-денного періоду координованого розкриття, дослідники 29 липня оприлюднили технічні деталі та робочі експлойти для всіх трьох вразливостей, забезпечивши спільноті безпеки необхідну інформацію для захисту.
Оцінка ризиків та рекомендації щодо захисту
Експерти відзначають, що виявлені вразливості не відрізняються особливою складністю та представляють типові проблеми безпеки, які мали б бути виявлені значно раніше. Особливо дивним є той факт, що продукт, раніше відомий як LiveCycle, використовується в корпоративному середовищі вже близько двох десятиліть.
Як тимчасовий захід до встановлення офіційних патчів адміністраторам настійно рекомендується обмежити мережевий доступ до AEM Forms в автономних розгортаннях та посилити моніторинг підозрілої активності. Також критично важливо впровадити додаткові рівні захисту на рівні мережевої інфраструктури.
Цей інцидент підкреслює критичну важливість своєчасного оновлення корпоративних систем та необхідність регулярного аудиту безпеки застарілих продуктів. Організаціям, що використовують Adobe AEM Forms, слід негайно застосувати випущені патчі та провести комплексну оцінку своєї інфраструктури на предмет можливих компрометацій. Своєчасна реакція на подібні загрози є ключовим фактором підтримки належного рівня кібербезпеки в сучасному цифровому середовищі.
