米国サイバーセキュリティ庁(CISA)は水曜日、最近のAdobe Experience Manager Forms(AEM Forms)の脆弱性が攻撃で悪用されていると警告しました。
CVE-2025-54253(CVSSスコア10.0)として追跡されているこの脆弱性は、8月初旬に臨時アップデートで修正されました。すでに概念実証(PoC)エクスプロイトが公開されていたためです。
AEM Formsは、デジタルフォームやドキュメントの作成、管理、公開のために設計されたソリューションです。設定ミスの問題とされるこのセキュリティ欠陥は、任意のコード実行に悪用される可能性があります。
この脆弱性を発見したSearchlight CyberのShubham Shah氏とAdam Kues氏によると、認証バイパスと管理UIのStruts開発モードが有効のままになっていたことが組み合わさっていたとのことです。
研究者によれば、攻撃者はObject-Graph Navigation Language(OGNL)式を実行するペイロードを作成し、公開されているサンドボックスバイパスを利用してリモートコード実行を達成できるとしています。
AdobeはJava Enterprise Edition(JEE)バージョン6.5.0-0108のAEM Formsでこの脆弱性に対応しました。このバージョンでは、任意のファイルシステム読み取りにつながるXML外部エンティティ参照の不適切な制限(CVE-2025-54254、CVSSスコア8.6)にも対応しています。
「AdobeはCVE-2025-54253およびCVE-2025-54254に対して公開された概念実証が存在することを認識しています」と同社は8月に警告し、顧客にできるだけ早く導入環境をアップデートするよう促しました。
水曜日、CISAはCVE-2025-54253を既知の悪用脆弱性(KEV)カタログに追加し、実際に悪用されていると警告しましたが、観測された攻撃に関する情報は提供しませんでした。
拘束力のある運用指令(BOD)22-01により、連邦機関は自組織内の脆弱なAEM Formsインストールを特定し、利用可能なパッチを適用するまでに3週間が与えられました。
BOD 22-01は連邦機関のみに適用されますが、CISAはすべての組織にKEVリストで説明されている脆弱性のパッチ適用を推奨しています。
今週、Adobeは自社製品の35件以上のセキュリティ欠陥に対するパッチを公開し、その中にはConnectコラボレーションスイートの重大な脆弱性も含まれています。
翻訳元: https://www.securityweek.com/organizations-warned-of-exploited-adobe-aem-forms-vulnerability/
