CISAは、攻撃者がAdobe Experience Managerの最大深刻度の脆弱性を積極的に悪用し、未修正システム上でコードを実行していると警告しました。
この脆弱性は、Searchlight CyberのAdam Kues氏とShubham Shah氏によって発見され、他の2件の問題(CVE-2025-54254およびCVE-2025-49533)とともに4月28日にAdobeに報告されました。
しかし、Adobeは4月に後者のみを修正し、残りの2件は90日以上修正されないままでした。その後、2人のセキュリティ研究者が7月29日に詳細な解説記事を公開し、脆弱性の仕組みや悪用方法を明らかにしました。
Adobeは最終的に8月9日、CVE-2025-54253脆弱性に対処するセキュリティアップデートをリリースし、概念実証のエクスプロイトコードがすでに公開されていることを確認しました。
Searchlight Cyberによると、CVE-2025-54253はStruts DevModeを利用した認証バイパスで、リモートコード実行(RCE)につながります。研究者らは、ソフトウェアをすぐに修正できない場合、AEM Formsをスタンドアロンアプリケーションとして展開している際にはインターネットアクセスを制限するよう管理者に助言しています。
CISAは現在、この脆弱性を既知の悪用脆弱性カタログに追加し、連邦民間行政機関(FCEB)に対し、2021年11月に発行されたBinding Operational Directive(BOD)22-01に基づき、11月5日までにシステムを保護するよう3週間の猶予を与えています。
BOD 22-01は米国連邦機関を対象としていますが、サイバーセキュリティ機関は民間部門を含むすべての組織に対し、この積極的に悪用されている脆弱性へのパッチ適用を最優先するよう推奨しています。
「ベンダーの指示に従って緩和策を適用し、クラウドサービスには該当するBOD 22-01のガイダンスに従うか、緩和策が利用できない場合は製品の使用を中止してください」とCISAは水曜日に警告しました。
「これらの種類の脆弱性は悪意のあるサイバー攻撃者による頻繁な攻撃経路であり、連邦組織に重大なリスクをもたらします」とCISAは付け加えました。
