10.0 по CVSS, публичный эксплойт и активная эксплуатация. Adobe латает критическую ошибку

leer en español

Adobe CISA Searchlight Cyber FireCompass AEM Struts2 KEV CVE-2025-54253
10.0 по CVSS, публичный эксплойт и активная эксплуатация. Adobe латает критическую ошибку
Adobe CISA Searchlight Cyber FireCompass AEM Struts2 KEV CVE-2025-54253

Один HTTP-запрос — и злоумышленник получает полный контроль над корпоративным сервером.

image

Американское агентство CISA добавило в каталог известных эксплуатируемых уязвимостей критическую ошибку в Adobe Experience Manager, указав на подтверждённые продолжающиеся атаки. Речь о «десятке» по CVSS — ошибке конфигурации CVE-2025-54253, которая даёт возможность выполнять произвольный код. Уязвимость затрагивает AEM Forms на JEE версии 6.5.23.0 и старше. Adobe устранила её в сборке 6.5.0-0108 в начале августа 2025 года, одновременно закрыв CVE-2025-54254 с оценкой 8,6 балла.

Проблему подробно описали Адам Кьюз и Шубхам Шах из Searchlight Cyber — они показали, что изъян складывается в цепочку обхода аутентификации и удалённого выполнения команд через devmode фреймворка Struts2. Ключевая причина — оставленный без защиты servlet /adminui/debug: он принимает введённые пользователем выражения OGNL и интерпретирует их как Java-код, не требуя входа и не проверяя ввод. По замечанию FireCompass, такая точка входа позволяет провести атаку одним специально сформированным HTTP-запросом.

Как именно злоумышленники применяют технику в реальных инцидентах, публично не раскрывается. При этом Adobe в предупреждении подтвердила наличие общедоступного прототипа эксплойта для обеих уязвимостей, что сильно снижает порог для злоумышленников. С учётом активной эксплуатации федеральным гражданским ведомствам США предписано обновиться до 5 ноября 2025 года — срок включён в обязательные меры по линии CISA.

Контекст усиливает недавнее пополнение каталога KEV другой критической уязвимостью — CVE-2016-7836 в продукте SKYSEA Client View. Ещё в 2016 году японская база JVN сообщала об атаках, использующих эту ошибку. Изъян связан с некорректной аутентификацией при обработке TCP-соединения с программой консоли управления и позволяет удалённо выполнить код.

Включение в каталог этой бреши наряду с критической ошибкой в AEM подчёркивает основную линию CISA — приоритет на устранение точек безаутентикационного доступа, ведущих к RCE, вне зависимости от давности публикации.

Для владельцев AEM рекомендация однозначна: проверить фактическую версию AEM Forms на JEE, установить обновление 6.5.0-0108 или свежее, отключить и закрыть доступ к /adminui/debug, а также провести ревизию конфигураций, связанных с режимом разработки Struts2 и обработкой OGNL. Отдельного внимания требует инвентаризация внешне доступных узлов и корректное разграничение прав на административные интерфейсы.