Adobeは火曜日、Adobe Experience Manager Forms(AEM Forms)on Java Enterprise Edition(JEE)に存在し、公開されたエクスプロイトコードがある2つの重大な脆弱性に対応する緊急のセキュリティアップデートをリリースしました。
この2つの脆弱性はCVE-2025-54253(CVSSスコア10.0)およびCVE-2025-54254(CVSSスコア8.6)として追跡されており、システム上で任意のコード実行や任意のファイル読み取りが可能となります。
「Adobeは、CVE-2025-54253およびCVE-2025-54254に対して公開されている概念実証(PoC)が存在することを認識しています。これらの問題が実際に悪用されたという報告は現時点でありません」と同社はアドバイザリで述べています。
これらの脆弱性を報告したShubham Shah氏およびAdam Kues氏(2025年1月にSearchlight CyberがAssetnoteを買収)に謝意を示しつつ、Adobeは顧客に対し、両脆弱性を解決する新たにリリースされたホットフィックスを適用するよう強く推奨しています。
AdobeはCVE-2025-54253を単なる設定ミスと説明していますが、Searchlight Cyberは、管理者UIのStruts開発モードが有効のままになっていることと認証バイパスが組み合わさっていると説明しています。
この組み合わせにより、セキュリティ研究者はObject-Graph Navigation Language(OGNL)式の実行につながるペイロードを作成することができました。
「多くの公開されているサンドボックスバイパスを利用することで、これをリモートコマンド実行(RCE)にエスカレートするのは容易です。私たちの場合、かなり複雑なWAFに対処していましたが、ペイロードがGETリクエストの最初の行コンポーネント内にあったため、RCEを達成するには多少工夫が必要でした」とSearchlight Cyberは述べています。
CVE-2025-54254は、XML外部エンティティ参照(XXE)の不適切な制限の欠陥と説明されており、AEM Formsの認証メカニズムがXMLドキュメントを安全でない方法で読み込んでいたため、認証なしで悪用可能でした。
広告。スクロールして続きをお読みください。
Searchlight Cyberは、4月にこれら2つの問題とともに、重大度が高い(CVSSスコア9.8)未信頼データのデシリアライズ脆弱性CVE-2025-49533もAdobeに報告しており、これはAdobeの2025年7月のセキュリティアップデートで解決されました。
7月29日、Searchlight Cyberは90日間の情報開示ポリシーに従い、3つのセキュリティ欠陥すべてに関する技術情報と概念実証(PoC)コードを公開し、スタンドアロンで運用しているAEM Formsへのアクセス制限をユーザーに呼びかけました。
「私たちがAEM Formsで公開したすべての脆弱性は複雑なものではありません」とSearchlightは述べています。「むしろ、これらの問題は数年前に発見されていてもおかしくないものです。以前はLiveCycleとして知られていたこの製品ラインは、ほぼ20年にわたり企業で利用されてきました。なぜこれらの単純な脆弱性が他の人に発見されなかったのか、またはAdobeによって修正されなかったのかという疑問が残ります。」
関連記事: Adobe、重大なコード実行バグにパッチを適用
関連記事: Rowhammer攻撃、Nvidia GPUに対して実証
関連記事: AIのレッドチーミング:自社開発か購入かの議論