美國網路安全暨基礎設施安全局(CISA)發出警告,攻擊者正積極利用 Adobe Experience Manager 的最高嚴重性漏洞,對未修補系統執行任意程式碼。
編號 CVE-2025-54253 的重大安全漏洞源自組態設定錯誤,影響 Adobe Experience Manager (AEM) Forms on JEE 6.5.23 版本及更早版本。該漏洞的 CVSS 評分達到滿分 10.0 分。
攻擊者成功利用此漏洞後,無需通過身份驗證即可繞過安全機制並遠端執行任意程式碼。更令人擔憂的是,這種攻擊複雜度低,且不需要使用者互動。
漏洞揭露時間軸引發爭議
研究人員於今年 4 月 28 日向 Adobe 通報此漏洞,同時揭露
CVE-2025-54254 和
CVE-2025-49533 兩個漏洞。然而 Adobe 在 4 月僅修補最後一個漏洞,導致前兩個問題超過 90 天未獲修補。7 月 29 日,研究人員公開發表技術細節,詳細說明漏洞的運作原理和攻擊手法。Adobe 直到 8 月 9 日才發布安全更新,而此時概念性驗證攻擊程式碼早已在網路上流傳。
根據資安業者說明,
CVE-2025-54253 是身份驗證繞過漏洞,可透過 Struts DevMode 導致遠端程式碼執行(RCE)。漏洞源於危險暴露的 「/adminui/debug servlet」端點,該端點會將使用者提供的 OGNL 表達式當作 Java 程式碼執行,卻未要求身份驗證或驗證輸入。攻擊者只需發送精心設計的 HTTP 請求,即可執行任意系統指令。
此外,
CVE-2025-54254 是 AEM Forms 網路服務的 XML 外部實體注入(XXE injection)漏洞,CVSS 評分為 8.6 分。
CISA 強制聯邦機構限期修補
CISA 已將 CVE-2025-54253 列入已知被利用漏洞目錄,並要求聯邦民間行政部門(FCEB)機構必須在 11 月 5 日前完成系統防護。目前尚無公開資訊說明此漏洞在實際攻擊中如何被利用,但
Adobe 已在公告中確認 CVE-2025-54253 和 CVE-2025-54254 都有公開的概念性驗證攻擊程式碼。
對於無法立即修補軟體的管理員,建議採取以下措施:
- 將 AEM Forms 升級至 6.5.0-0108 或更新版本
- 若 AEM Forms 作為獨立應用程式部署,應限制其網際網路存取
- 依照廠商指示套用緩解措施
- 若無法取得緩解措施,應停止使用該產品
而 CISA 將此漏洞列入目錄的前一天,也將
SKYSEA Client View 的不當身份驗證漏洞(CVE-2016-7836)加入已知被利用漏洞目錄。這個 CVSS 評分 9.8 的重大漏洞早在 2016 年就被日本漏洞註記(JVN)發現有實際攻擊案例。
本文轉載自 BleepingComputer、TheHackerNews。