CVSS 10/10: Krytyczna luka w Adobe Experience Manager Forms (AEM Forms) aktywnie wykorzystywana - Security Bez Tabu

CVSS 10/10: Krytyczna luka w Adobe Experience Manager Forms (AEM Forms) aktywnie wykorzystywana

Wprowadzenie do problemu / definicja luki

W AEM Forms na Java Enterprise Edition (JEE) ujawniono krytyczną lukę CVE-2025-54253 o maksymalnej punktacji CVSS 10.0, prowadzącą do zdalnego wykonania kodu (RCE) bez uwierzytelnienia. Problem dotyczy wydań 6.5.23.0 i starszych i został załatany aktualizacją 6.5.0-0108 z 5 sierpnia 2025 r.. Druga, powiązana podatność to CVE-2025-54254 (XXE, CVSS 8.6).

CISA potwierdziła aktywne wykorzystywanie luki, dodając CVE-2025-54253 do Known Exploited Vulnerabilities (KEV) z terminem wdrożenia poprawek do 5 listopada 2025 r. (dla agencji FCEB).

W skrócie

  • Co: CVE-2025-54253 – błąd klasy Incorrect Authorization w AEM Forms (JEE) → RCE bez uwierzytelnienia.
  • Jak poważne: CVSS 10.0 (wektor: AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H).
  • Kogo dotyczy: AEM Forms (JEE) 6.5.23.0 i starsze; poprawka: 6.5.0-0108.
  • Status: Potwierdzone wykorzystanie w naturze (KEV).
  • Druga luka: CVE-2025-54254 (XXE, CVSS 8.6) → odczyt plików.

Kontekst / historia / powiązania

Adobe wydało biuletyn APSB25-82 5 sierpnia 2025 r., wskazując na dostępność PoC dla obu podatności. Początkowo nie raportowano exploitów in the wild, jednak 15–16 października 2025 r. media branżowe i CISA potwierdziły aktywne nadużycia i dodały CVE-2025-54253 do KEV.

Analiza techniczna / szczegóły luki

  • CVE-2025-54253 (CVSS 10.0): Błąd klasy Incorrect Authorization (CWE-863) umożliwia ominięcie mechanizmów kontroli i doprowadzenie do RCE bez interakcji użytkownika (pre-auth). Wektory CVSS wskazują na zdalny, niski koszt ataku i zmianę zakresu (S:C).
  • CVE-2025-54254 (CVSS 8.6): XXE (CWE-611) w usługach webowych AEM Forms, skutkujący arbitralnym odczytem plików bez uwierzytelnienia.

Łańcuch eksploatacji i tło badawcze: badacze z Searchlight Cyber/Assetnote opisali scenariusz „authentication bypass → RCE” związany z konfiguracją Struts2 (devMode) w komponentach AEM Forms (J2EE/JBoss), oraz osobny wektor XXE. W publikacji zawarto szczegóły dot. wystawionych końcówek (np. /lc/..., /edcws/) i modułów aplikacji. (Uwaga: wpis badawczy był aktualizowany po wydaniu łatek przez Adobe).

Praktyczne konsekwencje / ryzyko

  • Pełne przejęcie serwera AEM Forms (RCE) przez atakujących bez konta.
  • Potencjalne ruchy lateralne w sieci oraz ekfiltracja danych formularzy/dokumentów.
  • Przy XXEodczyt wrażliwych plików z systemu (sekrety, klucze).
  • Realne kampanie wykorzystujące lukę (KEV) – ryzyko dla organizacji opóźniających aktualizacje.

Rekomendacje operacyjne / co zrobić teraz

  1. NATYCHMIAST zaktualizuj AEM Forms (JEE) do 6.5.0-0108 zgodnie z APSB25-82. Zweryfikuj, że środowisko nie raportuje wersji ≤ 6.5.23.0.
  2. Ogranicz ekspozycję AEM Forms: odseparuj od Internetu (szczególnie wdrożenia standalone/JBoss), dopuszczaj dostęp wyłącznie przez VPN/Zero Trust.
  3. Twarde konfiguracje: upewnij się, że Struts2 devMode jest wyłączony w produkcji; przegląd konfiguracji uprawnień i endpointów usługowych.
  4. WAF/IDS: wzorce ruchu do ścieżek /lc/, /FormServer, /edcws/ oraz nietypowe parametry XML/XXE; blokady dla żądań anomalnych.
  5. Hunting i forensyka:
    • logi aplikacyjne/serwera (JBoss/WildFly/Tomcat) pod kątem błędów Struts/serwletów FormServer i nietypowych żądań SOAP/XML,
    • uruchomienia powłok/procesów potomnych z kontenerów AEM/JVM,
    • nowe pliki w katalogach tymczasowych, harmonogramy zadań, modyfikacje web.xml.
  6. Zgodność z KEV: jeśli podlegasz wymogom BOD 22-01, zastosuj poprawki do 5 listopada 2025 r.; w sektorze prywatnym – traktuj termin jako SLA krytyczny.
  7. Testy regresyjne po aktualizacji (workflow’y formularzy, integracje, podpisy).

Różnice / porównania z innymi przypadkami

  • CVE-2025-54253 (RCE, 10.0) jest istotnie groźniejsza od CVE-2025-54254 (XXE, 8.6) – pierwsza daje pełne wykonanie kodu bez uwierzytelnienia, druga „tylko” odczyt plików. Obie są bezinterakcyjne, ale RCE ma bezpośrednie skutki przejęcia hosta.
  • W porównaniu z typowymi lukami AEM w warstwie CMS/UI, tu wektory uderzają w AEM Forms (JEE) i stack Java/J2EE, co zwiększa ryzyko w instalacjach standalone.

Podsumowanie / kluczowe wnioski

  • Luka CVE-2025-54253 w AEM Forms (JEE) ma maksymalną powagę i jest aktywnie wykorzystywana.
  • Aktualizacja do 6.5.0-0108 i twarde ograniczenie ekspozycji to priorytet.
  • Organizacje powinny traktować termin 5.11.2025 jako deadline operacyjny i przeprowadzić threat hunting pod kątem ewentualnej kompromitacji.

Źródła / bibliografia

  1. Adobe Security Bulletin APSB25-82 – AEM Forms (JEE), wersje podatne, CVSS i wersja naprawcza 6.5.0-0108. (Adobe Help Center)
  2. NVD – CVE-2025-54253 – opis, wektor CVSS 3.1, wpis KEV z terminem 5.11.2025. (NVD)
  3. SecurityWeek – ostrzeżenie o aktywnej eksploatacji i dodaniu do KEV. (SecurityWeek)
  4. Help Net Security – potwierdzenie wpisu KEV / aktywnej eksploatacji. (Help Net Security)
  5. Searchlight Cyber (Assetnote) – tło techniczne: łańcuch auth bypass → RCE (Struts2 devMode), wskazówki dot. ekspozycji /lc, /edcws. (Searchlight Cyber)