La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE.UU. UU. (CISA) incluyó la vulnerabilidad CVE-2025-54253 de Adobe Experience Manager (AEM) Forms sobre JEE en su catálogo Known Exploited Vulnerabilities (KEV), confirmando que está siendo explotada activamente en ambientes reales. La falla tiene una puntuación de severidad máxima CVSS 10.0 y permite la Ejecución de Código Arbitrario (RCE).
Vector de Ataque: El Servlet de Debug Expuesto
La vulnerabilidad aprovecha una mala configuración que convierte un punto final de diagnóstico en una puerta abierta a la ejecución de comandos del sistema.
Mecanismo OGNL
- Causa Raíz: La vulnerabilidad se origina en el servlet /adminui/debug de AEM Forms. Este punto final, diseñado para diagnóstico, evalúa expresiones OGNL (Object Graph Navigation Language) como código Java sin autenticación ni validación adecuada.
- Explotación: Un atacante puede enviar una solicitud HTTP especialmente construida a este endpoint, utilizando OGNL para inyectar código y ejecutar comandos del sistema en el servidor AEM afectado.
- Productos Afectados: AEM Forms sobre JEE en versiones 6.5.23.0 y anteriores. (Adobe también corrigió la CVE-2025-54254 (XXE) en componentes relacionados).
Riesgos estratégicos
- Punto Ciego de Confianza: Muchas organizaciones mantienen accidentalmente activo el /adminui/debug en producción, asumiendo que solo los administradores pueden acceder. Si este endpoint está expuesto a la red pública, se convierte en un vector RCE no autenticado.
- OGNL como Bridge: OGNL, al poder invocar métodos de objetos Java, actúa como un “puente” directo para que el atacante inserte lógica maliciosa en el servidor.
- Presión Regulatoria: La inclusión en la lista KEV de CISA obliga a las agencias federales de EE. UU. a aplicar parches antes del 5 de noviembre de 2025, lo que subraya la urgencia global de mitigación.
Recomendaciones
- Parcheo Inmediato y Verificación
- Actualización crítica: Verifique la versión de AEM Forms desplegada y actualice inmediatamente a la versión 6.5.0-0108 o superior, que corrige la RCE (CVE-2025-54253) y la XXE (CVE-2025-54254).
- Validación: Comprobar después del patching que el endpoint /adminui/debug ya no permite la evaluación de OGNL sin autenticación.
- Desactivar o aislar Endpoints de Debug
- Deshabilitar: Si no se requiere para operaciones, deshabilitar completamente el servlet /adminui/debug.
- Controles estrictos: Si debe permanecer activo, colóquelo detrás de controles blancos de acceso muy estrictos (firewalls, listas de IP, VPN) y aplique una capa de WAF (Web Application Firewall) para bloquear solicitudes sospechosas que incluyan expresiones OGNL.
- Monitoreo y Auditoría Post-Parche
- Alertas de Acceso: Configurar alertas ante cualquier acceso o intento de envío de expresiones OGNL no esperadas al endpoint /adminui/debug.
- Auditoría de Comportamiento: Monitorear los registros de AEM. Después de aplicar el parche, analice el comportamiento del sistema operativo en busca de procesos sospechosos iniciados desde el contexto del servidor AEM que no deberían existir.
- Revisión de PoC: Analizar la prueba de concepto público disponible para comprender la técnica utilizada y buscar posibles variaciones que puedan ser empleadas por atacantes.
