CISA نقص Adobe AEM را با امتیاز کامل ۱۰.۰ نشان‌گذاری کرد – در حال حاضر تحت حمله فعال است!

آژانس امنیت سایبری و زیرساخت ایالات متحد (CISA)، بر اساس شواهدی از بهره‌برداری فعال، یک نقص امنیتی بحرانی که  Adobe Experience Manager  را تحت تأثیر قرار می‌دهد، به فهرست آسیب‌پذیری‌های شناخته‌شده‌ی و بهره برداری شده (KEV) خود اضافه کرد.

آسیب‌پذیری مورد بحث با شناسه  CVE-2025-54253 که دارای امتیاز (CVSS:  10.0)  می باشد، یک اشکال پیکربندی نادرست با حداکثرشدت می باشد که می‌تواند منجر به اجرای کد دلخواه شود.

طبق گفته‌ی ادوبی، این نقص، Adobe Experience Manager (AEM) Forms را در نسخه‌های JEE 6.5.23.0 و قبل از آن تحت تأثیر قرار می‌دهد. این نقص در نسخه 6.5.0-0108 که در اوایل آگوست 2025 منتشر شد، در کنار نقص CVE-2025-54254  امتیاز (CVSS: 8.6) رفع شده است.

جزئیات این دو آسیب‌پذیری توسط محققان Searchlight Cyber، Adam Kues و Shubham Shah ، در ژوئیه ۲۰۲۵ فاش شد و آسیب پذیری CVE-2025-54253   را به عنوان “دور زدن احراز هویت به زنجیره [اجرای کد از راه دور] از طریق Struts2 devmode و آسیب پذیری CVE-2025-54254  را به عنوان یک تزریق موجودیت خارجی XML (XXE) در سرویس‌های وب AEM Forms توصیف کردند. شرکت امنیتی FireCompass خاطرنشان کرد: این نقص ناشی از Servlet/adminui/debug خطرناک می باشد که عبارات OGNL ارائه شده توسط کاربر را به عنوان کد جاوا بدون نیاز به احراز هویت یا اعتبارسنجی ورودی ارزیابی می‌کند.» «سوءاستفاده از این نقطه پایانی، مهاجمان را قادر می‌سازد تا دستورات دلخواه سیستم را با یک درخواست HTTP ساخته شده اجرا کنند.

در حال حاضر هیچ اطلاعاتی در مورد چگونگی بهره برداری از این نقص امنیتی در حملات دنیای واقعی در دسترس عموم نیست، اگرچه Adobe در توصیه‌نامه خود اذعان کرده است که آسیب پذیری CVE-2025-54253 و CVE-2025-54254 دارای یک اثبات مفهوم در دسترس عموم هستند.

با توجه به بهره برداری فعال، به سازمان‌های فدرال غیرنظامی (FCEB) توصیه می‌شود تا 5 نوامبر 2025 اصلاحات لازم را اعمال کنند.

منبع:

https://thehackernews.com/2025/10/cisa-flags-adobe-aem-flaw-with-perfect.html