Permite a los atacantes ejecutar comandos arbitrarios del sistema con una sola solicitud HTTP
La Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA) agregó el miércoles una falla de seguridad crítica que afecta a Adobe Experience Manager a su catálogo de Vulnerabilidades Explotadas Conocidas (KEV), basándose en evidencia de explotación activa.
La vulnerabilidad en cuestión es CVE-2025-54253 (puntuación CVSS: 10.0), un error de configuración incorrecta de máxima gravedad que podría resultar en la ejecución de código arbitrario.
Según Adobe, la deficiencia afecta a Adobe Experience Manager (AEM) Forms en las versiones 6.5.23.0 y anteriores de JEE. Se solucionó en la versión 6.5.0-0108, publicada a principios de agosto de 2025, junto con CVE-2025-54254 (puntuación CVSS: 8,6).
Los detalles de las dos vulnerabilidades fueron revelados por los investigadores de Searchlight Cyber Adam Kues y Shubham Shah en julio de 2025, describiendo CVE-2025-54253 como una "omisión de autenticación a la cadena [de ejecución de código remoto] a través del modo de desarrollo Struts2" y CVE-2025-54254 como una inyección de entidad externa XML (XXE) dentro de los servicios web de AEM Forms.
La falla se debe al servlet /adminui/debug, peligrosamente expuesto, que evalúa las expresiones OGNL proporcionadas por el usuario como código Java sin requerir autenticación ni validación de entrada, señaló la empresa de seguridad FireCompass. "El uso indebido del endpoint permite a los atacantes ejecutar comandos arbitrarios del sistema con una sola solicitud HTTP diseñada".
Actualmente no hay información disponible públicamente sobre cómo se está explotando la falla de seguridad en ataques del mundo real, aunque Adobe reconoció en su aviso que "CVE-2025-54253 y CVE-2025-54254 tienen una prueba de concepto disponible públicamente".
En vista de la explotación activa, se recomienda a las agencias del Poder Ejecutivo Civil Federal (FCEB) que apliquen las correcciones necesarias antes del 5 de noviembre de 2025.
