Без логина и пароля: Три строчки кода в Adobe Forms открыли хакерам государственные и банковские системы
NewsMakerAdobe защищает творцов, но забыла про серверную часть.
Adobe выпустила внеочередное обновление безопасности для платформы Adobe Experience Manager (AEM) Forms на Java EE после того, как исследователи обнародовали цепочку эксплуатации, позволяющую удалённо выполнять произвольный код на уязвимых экземплярах системы без необходимости аутентификации.
Уязвимости получили идентификаторы CVE-2025-54253 и CVE-2025-54254, обе оценены как критические и затрагивают всех тех, кто использует AEM Forms в продуктивной среде.
Первая из них — CVE-2025-54253 (оценка CVSS: 8.6) — связана с ошибочной конфигурацией, при которой активирован режим разработки Struts2. Это упущение позволяет злоумышленникам использовать механизм OGNL-выражений для внедрения команд через отладочные параметры в HTTP-запросах. Уязвимость фактически открывает доступ к административному интерфейсу без необходимости прохождения аутентификации.
Вторая дыра, CVE-2025-54254 (оценка CVSS: 10.0), затрагивает компонент SOAP-аутентификации, в котором отсутствует защита от внедрения внешних сущностей XML (XXE). Это позволяет атакующим подсовывать специально сформированные XML-документы, которые вынуждают систему раскрывать содержимое локальных файлов, например, конфигураций Windows или чувствительных системных параметров.
Третья проблема — CVE-2025-49533 (оценка CVSS: 9.8) — была закрыта раньше, 5 августа, и также допускает выполнение произвольного кода. Она затрагивает модуль FormServer, в котором пользовательские данные десериализуются без предварительной проверки. Благодаря отсутствию валидации атакующий может передать вредоносную нагрузку, которая будет автоматически выполнена сервером, открывая путь к полному захвату системы.
Все три уязвимости были выявлены специалистами компании Searchlight Cyber. Они сообщили о проблемах Adobe ещё 28 апреля, однако только одна из трёх была исправлена в срок. После трёхмесячного ожидания команда исследователей предупредила Adobe о намерении опубликовать подробное техническое описание, которое в итоге появилось 29 июля.
Несмотря на факт публикации, лишь спустя несколько дней Adobe выпустила исправления для оставшихся двух уязвимостей. В качестве превентивной меры специалисты настоятельно рекомендуют немедленно установить последние обновления и горячие исправления. В случае если это невозможно, предлагается изолировать AEM Forms от внешней сети, чтобы минимизировать потенциальный ущерб.
Особую обеспокоенность вызывает то, что все три уязвимости допускают удалённое выполнение кода без прохождения аутентификации. Это превращает их в идеальную отправную точку для целевых атак на инфраструктуру организаций, использующих Adobe Experience Manager. Опасность усугубляется тем, что система AEM Forms зачастую используется в государственном, корпоративном и финансовом секторах, где компрометация может привести к утечке конфиденциальных данных и полной потере контроля над цифровыми активами.
Adobe выпустила внеочередное обновление безопасности для платформы Adobe Experience Manager (AEM) Forms на Java EE после того, как исследователи обнародовали цепочку эксплуатации, позволяющую удалённо выполнять произвольный код на уязвимых экземплярах системы без необходимости аутентификации.
Уязвимости получили идентификаторы CVE-2025-54253 и CVE-2025-54254, обе оценены как критические и затрагивают всех тех, кто использует AEM Forms в продуктивной среде.
Первая из них — CVE-2025-54253 (оценка CVSS: 8.6) — связана с ошибочной конфигурацией, при которой активирован режим разработки Struts2. Это упущение позволяет злоумышленникам использовать механизм OGNL-выражений для внедрения команд через отладочные параметры в HTTP-запросах. Уязвимость фактически открывает доступ к административному интерфейсу без необходимости прохождения аутентификации.
Вторая дыра, CVE-2025-54254 (оценка CVSS: 10.0), затрагивает компонент SOAP-аутентификации, в котором отсутствует защита от внедрения внешних сущностей XML (XXE). Это позволяет атакующим подсовывать специально сформированные XML-документы, которые вынуждают систему раскрывать содержимое локальных файлов, например, конфигураций Windows или чувствительных системных параметров.
Третья проблема — CVE-2025-49533 (оценка CVSS: 9.8) — была закрыта раньше, 5 августа, и также допускает выполнение произвольного кода. Она затрагивает модуль FormServer, в котором пользовательские данные десериализуются без предварительной проверки. Благодаря отсутствию валидации атакующий может передать вредоносную нагрузку, которая будет автоматически выполнена сервером, открывая путь к полному захвату системы.
Все три уязвимости были выявлены специалистами компании Searchlight Cyber. Они сообщили о проблемах Adobe ещё 28 апреля, однако только одна из трёх была исправлена в срок. После трёхмесячного ожидания команда исследователей предупредила Adobe о намерении опубликовать подробное техническое описание, которое в итоге появилось 29 июля.
Несмотря на факт публикации, лишь спустя несколько дней Adobe выпустила исправления для оставшихся двух уязвимостей. В качестве превентивной меры специалисты настоятельно рекомендуют немедленно установить последние обновления и горячие исправления. В случае если это невозможно, предлагается изолировать AEM Forms от внешней сети, чтобы минимизировать потенциальный ущерб.
Особую обеспокоенность вызывает то, что все три уязвимости допускают удалённое выполнение кода без прохождения аутентификации. Это превращает их в идеальную отправную точку для целевых атак на инфраструктуру организаций, использующих Adobe Experience Manager. Опасность усугубляется тем, что система AEM Forms зачастую используется в государственном, корпоративном и финансовом секторах, где компрометация может привести к утечке конфиденциальных данных и полной потере контроля над цифровыми активами.