聚焦源代码安全,网罗国内外最新资讯!
该漏洞是CVSS评分为10分的配置不当漏洞,可导致任意代码执行后果。该漏洞影响JEE 6.5.23.0及更早版本上的 Adobe AEM Forms,已在2025年8月发布的版本6.5.0-0108中发布,与CVE-2025-54254一起发布。
Searchlight Cyber 公司的研究员 Adam Kues 和 Shubham Shah 在2025年7月披露了这两个漏洞的详情,提到CVE-2025-54253是一个“通过 Struts2 开发模式从认证绕过实现远程代码执行链”的漏洞,而CVE-2025-54254是位于 AEM Forms web服务中的 XML 外部实体 (XXE) 注入漏洞。
安全公司 FireCompass 提到,该漏洞源自以危险方式暴露的 /adminui/debug 伺服小程序,在无需认证或输入验证的情况下,将用户提供的 OGNL 表达式评估为 Java 代码。该端点的滥用可导致攻击者通过一个构造的 HTTP 请求执行任意系统命令。
目前尚不能存在关于该漏洞如何在现实中遭利用的公开信息,尽管 Adobe 公司在其安全公告中提到,“出现了CVE-2025-54253和CVE-2025-54254的公开可用 PoC”。
鉴于漏洞已遭活跃利用,CISA要求联邦民事执行机构 (FCEB) 在2025年11月5日前应用必要的修复方案。而就在一天前,CISA 还将 SKYSEA Client View 中的一个严重的认证不当漏洞(CVE-2016-7836,CVSS评分9.8)纳入必修清单。日本漏洞信息数据库 (JVN) 在2016年晚些时候发布的一份安全公告中提到,“已在野发现利用该漏洞的攻击”。
速修复!思科ASA 两个0day漏洞已遭利用,列入 CISA KEV 清单
https://thehackernews.com/2025/10/cisa-flags-adobe-aem-flaw-with-perfect.html
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~