Source: https://thehackernews.com/2025/10/cisa-flags-adobe-aem-flaw-with-perfect.html
🛡 概要
米国サイバーセキュリティインフラセキュリティ庁(CISA)は、Adobe Experience Manager(AEM)の重大なセキュリティ脆弱性を「既知の悪用脆弱性(KEV)」リストに追加しました。この脆弱性はCVE-2025-54253で、CVSSスコアは10.0です。これは、任意のコード実行を引き起こす可能性がある最大の深刻度を持つ設定ミスのバグです。Adobeによると、この脆弱性はJEEバージョン6.5.23.0以前のAEM Formsに影響を及ぼします。
🔍 技術詳細
CVE-2025-54253は、Struts2のdevmodeを介した認証バイパスから任意のコード実行に至る攻撃チェーンとして説明されており、CVE-2025-54254はAEM FormsのWebサービス内でのXML外部エンティティ(XXE)注入です。これらの脆弱性は、悪意のあるHTTPリクエストによって任意のシステムコマンドを実行できる/ adminui / debugサーブレットの危険にさらされたエンドポイントによって引き起こされます。さらに、Adobeは、CVE-2025-54253およびCVE-2025-54254の公開された概念実証が存在することを認めています。
⚠ 影響
この脆弱性の悪用により、攻撃者は認証なしでサーバー上で任意のコードを実行できる可能性があります。特に、FCEB機関には2025年11月5日までに必要な修正を適用することが推奨されています。過去には、CVE-2016-7836という別の脆弱性がSKYSEA Client Viewにおいても観察され、実際の攻撃が確認されています。このように、攻撃者による悪用が進行中であるため、迅速な対応が求められています。
🛠 対策
Adobeは、CVE-2025-54253とCVE-2025-54254を修正したバージョン6.5.0-0108を2025年8月にリリースしました。ユーザーは、最新のバージョンにアップデートすることが最も効果的な対策です。また、管理者は、/adminui/debugエンドポイントへのアクセスを制限し、認証と入力検証を強化することが重要です。これにより、攻撃者がシステムにアクセスするリスクを大幅に減少させることができます。セキュリティパッチの適用とともに、システムの監視を強化し、不審なアクティビティを早期に検出することも推奨されます。
