- Adobeは、ユーザー操作なしでコード実行やファイルアクセスを可能にする2つの重大なAEM脆弱性を修正
- CISAはCVE-2025-54253およびCVE-2025-54254をKEVに追加し、実際に悪用されていることを確認
- 各機関は11月5日までにパッチ適用が必須、民間企業も広範なリスクのため追従を推奨
Adobeは最近、Experience Manager製品の2つの脆弱性を修正しました。そのうち最大深刻度のものは、悪意のある攻撃者が任意のコードを実行できるというものです。
同社は「現時点で実際の攻撃は確認していない」としつつも、概念実証(PoC)エクスプロイトが存在することは認めています。また、米国サイバーセキュリティ・インフラセキュリティ庁(CISA)はこれをKEV(既知の悪用脆弱性カタログ)に追加し、攻撃に利用されていることを意味しています。
Adobe Experience Manager(AEM)は、Adobeのエンタープライズ向けコンテンツ管理システム(CMS)で、ウェブサイトやモバイルアプリ、デジタル体験の構築・管理に利用されます。大規模組織がさまざまなチャネルでパーソナライズされたコンテンツを作成・整理・配信するのに役立ちます。
CISAのKEVに追加
問題となっている2つの脆弱性はCVE-2025-54253およびCVE-2025-54254として追跡されています。前者は「設定ミスの脆弱性」とされ、セキュリティ機構を回避される恐れがあり、深刻度スコアは10/10(クリティカル)です。
後者は「XML外部エンティティ参照(XXE)の不適切な制限」による脆弱性で、任意のファイルシステム読み取りが可能となり、攻撃者がユーザー操作なしで機密ファイルにアクセスできるものです。深刻度スコアは8.6/10(高)とされています。
両方のバグはAdobe Experience Managerバージョン6.5.23以前に存在していました。今年8月にリリースされたパッチで、ツールはバージョン6.5.0-0108に更新されます。
10月15日、CISAは両脆弱性をKEVカタログに追加し、実際に悪用されているとの報告を確認しました。バグがKEVに追加されると、連邦民間行政機関(FCEB)は3週間以内に修正や緩和策を適用するか、脆弱なツールの使用を停止しなければなりません。
Adobeの場合、各機関は2025年11月5日までにパッチを適用する必要があります。
CISAの期限はFCEB機関のみに適用されますが、他の機関や民間企業にも追従が推奨されています。なぜなら、サイバー犯罪者は両者を区別せず、脆弱な対象を狙うためです。
