Adobe AEM Forms 零日漏洞可导致攻击者执行任意代码,PoC已公开
💡
原文中文,约1400字,阅读约需4分钟。
📝
内容提要
Adobe针对Java企业版的Experience Manager Forms发布紧急安全更新,修复两个关键零日漏洞(CVE-2025-54253和CVE-2025-54254),可导致任意代码执行和未授权文件访问。受影响版本需立即更新至6.5.0-0108,以防止攻击。
🎯
关键要点
- Adobe针对Java企业版的Experience Manager Forms发布紧急安全更新。
- 修复两个关键零日漏洞CVE-2025-54253和CVE-2025-54254。
- 这两个漏洞可导致任意代码执行和未授权文件访问。
- 受影响版本需立即更新至6.5.0-0108以防止攻击。
- CVE-2025-54253属于CWE-16类配置错误,CVSS评分满分10分。
- CVE-2025-54254涉及XML外部实体引用(XXE)攻击,CVSS评分为8.6。
- 这两个漏洞影响所有平台上6.5.23.0及更早版本的Adobe Experience Manager Forms JEE。
- 安全研究人员通过负责任披露渠道报告了这些漏洞。
- Adobe确认概念验证利用代码已公开,增加了攻击风险。
- 目前尚未发现这些漏洞在野被利用的情况。
- 组织应加快补丁安装进程,实施网络分段和访问控制。
❓
延伸问答
Adobe AEM Forms的零日漏洞有哪些?
Adobe AEM Forms的零日漏洞包括CVE-2025-54253和CVE-2025-54254。
CVE-2025-54253的风险有多大?
CVE-2025-54253的CVSS评分为10分,属于最高风险,允许任意代码执行。
如何修复Adobe AEM Forms的安全漏洞?
受影响的组织需立即更新Adobe AEM Forms至6.5.0-0108版本以修复漏洞。
CVE-2025-54254漏洞的具体影响是什么?
CVE-2025-54254允许攻击者进行任意文件系统读取,可能泄露敏感数据,CVSS评分为8.6。
这些漏洞是如何被发现的?
这些漏洞由安全研究人员Shubham Shah和Adam Kues通过负责任披露渠道报告给Adobe。
Adobe对这些漏洞的响应是什么?
Adobe发布了紧急安全更新,并确认概念验证利用代码已公开,增加了攻击风险。
➡️
