Kritiske sårbarheder i Adobe Experience Manager (AEM) Forms på JEE

Eskil Sørensen

08.06.2025 09:35

10,0-score på sårbarhed.

Adobe har udgivet nødopdateringer til Adobe Experience Manager (AEM) Forms på JEE som følge af offentliggørelsen af proofs-of-concept (PoC) for to kritiske sårbarheder. Sårbarhederne kan potentielt udnyttes til vilkårlig læsning af filer og fjernkodeudførelse uden brugerinteraktion.

De berørte systemer er Adobe Experience Manager (AEM) Forms on JEE – alle versioner op til og med 6.5.23.0

Sårbarhederne er følgende:

EUVD-2025-23647 / CVE-2025-54253 vedrører "misconfiguration", dvs. en konfigurationsfejl der kan føre til vilkårlig afvikling af kode. En angriber kan omgå sikkerhedsforanstaltninger og udføre kode uden brugerinteraktion. CVSS-scoren er 10.0.

EUVD-2025-23638 / CVE-2025-54254 vedrører "improper Restriction of XML External Entity Reference (XXE)". Der er tale om en fejl i XML-håndteringen, der kan føre til vilkårlig læsning af filsystemet. En angriber kan udnytte sårbarheden til at tilgå følsomme filer lokalt. CVSS-scoren er 8,6.

Der er ikke rapporteret om aktiv udnyttelse af sårbarhederne på nuværende tidspunkt.

Anbefalingen er, at berørte organisationer opdaterer til den nyeste version af Adobe Experience Manager Forms på JEE snarest muligt. Følg producentens vejledning for opdatering.

Læs mere

https://helpx.adobe.com/security/products/aem-forms/apsb25-82.html

Sårbarhed