Adobeは、認証不要のリモートコード実行が可能となるPoCエクスプロイトチェーンが公開されたことを受け、Adobe Experience Manager (AEM) Forms on JEEの2つのゼロデイ脆弱性に対し緊急アップデートをリリースしました。
これらの脆弱性はCVE-2025-54253およびCVE-2025-54254として追跡されています:
- CVE-2025-54253: 任意のコード実行を許す設定ミス。「クリティカル」と評価され、CVSSスコアは8.6です。
- CVE-2025-54254: XML外部エンティティ参照(XXE)の不適切な制限により、任意のファイルシステム読み取りが可能。「クリティカル」と評価され、最大深刻度のCVSSスコア10.0です。
Adobeは最新バージョンでこれらの脆弱性を修正しており、このアドバイザリで説明されています。
これらの脆弱性はSearchlight CyberのShubham Shah氏とAdam Kues氏によって発見され、2025年4月28日にAdobeへ、第三の問題であるCVE-2025-49533とともに報告されました。
Adobeは当初、8月5日にCVE-2025-49533のみを修正し、他の2つの脆弱性は90日以上未修正のままでした。
研究者らが公開予定日を警告した後、7月29日に技術的な解説記事を公開し、脆弱性の仕組みや悪用方法を詳述しました。
研究者によると、CVE-2025-49533はFormServerモジュールにおけるJavaのデシリアライズ脆弱性であり、認証不要でリモートコード実行(RCE)が可能です。サーブレットがユーザーからのデータを検証せずにデコード・デシリアライズするため、攻撃者は悪意のあるペイロードを送り、サーバー上でコマンドを実行できます。
XXE脆弱性(CVE-2025-54254)は、SOAP認証を処理するWebサービスに影響します。細工されたXMLペイロードを送信することで、攻撃者は認証なしでwin.iniなどのローカルファイルをサービスに漏洩させることができます。
最後に、CVE-2025-54253の脆弱性は、/adminuiモジュールにおける認証バイパスと、誤った開発者設定の組み合わせによって引き起こされます。
研究者は、Struts2の開発モードが誤って有効化されたままであることを発見し、攻撃者がHTTPリクエストのデバッグパラメータを通じてOGNL式を実行できることを突き止めました。
これらの脆弱性は脆弱なサーバー上でリモートコード実行を許すため、すべての管理者に対し、できるだけ早く最新のアップデートおよびホットフィックスの適用が推奨されています。
それが不可能な場合は、研究者はインターネットからのプラットフォームへのアクセス制限を強く推奨しています。
