Kritisk sårbarhet i Adobe Experience Manager

Adobe informerar om sårbarheter i Adobe Experience Manager.

Det rör sig om två sårbarheter, där den ena har klassificering 10.0 enligt CVSS 3.1 [1] Den andra sårbarheten har klassificering 8.6. [2] Den förstnämnda möjliggör att köra godtycklig kod på ett angripet system.

Det finns inga uppgifter om att sårbarheten har utnyttjats. PoC finns dock publicerad, och det är sannolikt att utnyttjande kommer att ske. [3]

Uppdatering 2025-10-16

CISA har lagt till CVE-2025-54253 i sin förteckning över aktivt utnyttjade sårbarheter, Known Exploited Vulnerabilities (KEV) [6].

Påverkade produkter

• Adobe Experience Manager (AEM) Forms on JEE, version 6.5.23.0 och tidigare [4]

Rekommendationer

CERT-SE rekommenderar att så snart som möjligt uppdatera sårbara produkter enligt leverantörens anvisningar. [5]

Källor

[1] https://nvd.nist.gov/vuln/detail/CVE-2025-54253

[2] https://nvd.nist.gov/vuln/detail/CVE-2025-54254

[3] https://www.securityweek.com/adobe-issues-out-of-band-patches-for-aem-forms-vulnerabilities-with-public-poc/

[4] https://helpx.adobe.com/security/products/aem-forms/apsb25-82.html

[5] https://experienceleague.adobe.com/en/docs/experience-manager-65/content/forms/troubleshooting/mitigating-xxe-and-configuration-vulnerabilities-for-experience-manager-forms-jee

[6] https://www.cisa.gov/known-exploited-vulnerabilities-catalog