Recientemente Adobe ha publicado actualizaciones de suma importancia para corregir dos vulnerabilidades de Zero-day específicamente para Adobe Experience Manager (AEM) Forms sobre Java Enterprise Edition (JEE). Las PoC se hicieron públicas y permiten su explotación remota sin autenticación, estas fallas permiten la ejecución de código arbitrario y la lectura de archivos del sistema en servidores afectados.
Vulnerabilidades
CVE-2025-54253: Es un tipo de falla de configuración, combinación de bypass de autenticación y Struts 2 en modo desarrollo habilitado en la interfaz administrativa (admin UI), esto permite que el cibercriminal pueda hacer una ejecución remota de código (RCE) mediante expresiones OGNL enviadas por HTTP. Se le dio una criticidad de CVSS: 8.6.
CVE-2025-54254: Es un tipo de falla de vulnerabilidad de lectura arbitraria de archivos vía XML External Entity (XXE), esto permite a los atacantes acceder sin autenticación a archivos del sistema mediante carga insegura de XML (SOAP). Se le dio una criticidad de CVSS:10.0.
Versiones afectadas
Estas fallas afectan AEM Forms en JEE versiones 6.5.23.0 y anteriores.
Dato importante
Adobe había parcheado un tercer fallo (CVE-2025-49533) el 5 de agosto, justo antes de abordar estos dos, aunque este último quedó sin reparar por más de 90 días.
No se han detectado explotaciones activas en entorno reales, aunque la disponibilidad de código de prueba aumenta el riesgo considerablemente.
Recomendaciones
- Instalar los parches de inmediato: Actualiza AEM Forms en JEE a la versión 6.5.0‑0108 que incluye las correcciones.
- Limitar el acceso externo: Si no puedes aplicar el parche de inmediato, restringe el acceso a la plataforma desde redes internas solamente.
- Deshabilitar el modo desarrollo en Struts2: Asegúrate de que no esté activado en sistemas productivos. Esta configuración favoreció la explotación del CVE‑2025‑54253.
- Monitorear actividades sospechosas: Revisa los logs buscando patrones como solicitudes HTTP con contenido OGNL, que podrían indicar intentos de explotación.
