Агентство по кибербезопасности и защите инфраструктуры США (CISA) в среду внесло уязвимость в продукте Adobe Experience Manager (AEM) в свой каталог известных эксплуатируемых уязвимостей (KEV). Проблеме, идентифицированной как CVE-2025-54253, присвоена максимальная оценка опасности 10.0 по шкале CVSS на основании подтвержденных данных о ее активном использовании в реальных атаках.
В связи с этим CISA выпустило обязательную директиву для всех федеральных гражданских исполнительных ведомств США (FCEB). Согласно предписанию, агентства должны применить необходимые исправления для устранения этой угрозы в срок до 5 ноября 2025 года. Этот шаг подчеркивает чрезвычайную серьезность уязвимости и высокий риск для правительственных систем.
Проблема затрагивает продукт Adobe Experience Manager (AEM) Forms на платформе JEE версий 6.5.23.0 и более ранних. Компания Adobe выпустила соответствующее исправление в начале августа 2025 года. Безопасной считается версия продукта 6.5.0-0108.
Согласно техническому анализу, проведенному компанией FireCompass, причиной уязвимости является ошибка конфигурации. В системе обнаружен незащищенный сервлет, доступный по адресу
Ключевая слабость заключается в том, что этот сервлет обрабатывает и выполняет в виде Java-кода выражения на языке OGNL (Object-Graph Navigation Language), предоставленные пользователем. При этом система не требует никакой аутентификации и не выполняет проверку вводимых данных, что создает идеальные условия для злоумышленников.
Для эксплуатации уязвимости атакующему достаточно отправить один специально сформированный HTTP-запрос. Это позволяет удаленно и без каких-либо привилегий выполнять произвольные системные команды на целевом сервере, получая полный контроль над ним.
Факт активной эксплуатации подтвержден, хотя конкретные детали атак не разглашаются. Adobe также сообщила о существовании общедоступного эксплойта (proof-of-concept, PoC) для CVE-2025-54253, что значительно упрощает проведение атак и способствует их массовому распространению.
В том же пакете обновлений от августа 2025 года Adobe устранила еще одну связанную уязвимость — CVE-2025-54254. Она имеет оценку 8.6 по шкале CVSS, и для нее также существует общедоступный эксплойт.
Днем ранее CISA добавило в каталог KEV еще одну критическую уязвимость — CVE-2016-7836, обнаруженную в продукте SKYSEA Client View. Эта проблема с оценкой 9.8 CVSS была впервые описана в бюллетене Japan Vulnerability Notes (JVN) еще в конце 2016 года.
Уязвимость в SKYSEA Client View позволяет удаленно выполнять код из-за ошибки в обработке аутентификации при TCP-соединении с консолью управления. Важно отметить, что JVN подтвердило факты атак с ее использованием еще в 2016 году, что указывает на долгосрочный характер угрозы.
Изображение носит иллюстративный характер
В связи с этим CISA выпустило обязательную директиву для всех федеральных гражданских исполнительных ведомств США (FCEB). Согласно предписанию, агентства должны применить необходимые исправления для устранения этой угрозы в срок до 5 ноября 2025 года. Этот шаг подчеркивает чрезвычайную серьезность уязвимости и высокий риск для правительственных систем.
Проблема затрагивает продукт Adobe Experience Manager (AEM) Forms на платформе JEE версий 6.5.23.0 и более ранних. Компания Adobe выпустила соответствующее исправление в начале августа 2025 года. Безопасной считается версия продукта 6.5.0-0108.
Согласно техническому анализу, проведенному компанией FireCompass, причиной уязвимости является ошибка конфигурации. В системе обнаружен незащищенный сервлет, доступный по адресу
/adminui/debug, который открывает вектор для атаки. Ключевая слабость заключается в том, что этот сервлет обрабатывает и выполняет в виде Java-кода выражения на языке OGNL (Object-Graph Navigation Language), предоставленные пользователем. При этом система не требует никакой аутентификации и не выполняет проверку вводимых данных, что создает идеальные условия для злоумышленников.
Для эксплуатации уязвимости атакующему достаточно отправить один специально сформированный HTTP-запрос. Это позволяет удаленно и без каких-либо привилегий выполнять произвольные системные команды на целевом сервере, получая полный контроль над ним.
Факт активной эксплуатации подтвержден, хотя конкретные детали атак не разглашаются. Adobe также сообщила о существовании общедоступного эксплойта (proof-of-concept, PoC) для CVE-2025-54253, что значительно упрощает проведение атак и способствует их массовому распространению.
В том же пакете обновлений от августа 2025 года Adobe устранила еще одну связанную уязвимость — CVE-2025-54254. Она имеет оценку 8.6 по шкале CVSS, и для нее также существует общедоступный эксплойт.
Днем ранее CISA добавило в каталог KEV еще одну критическую уязвимость — CVE-2016-7836, обнаруженную в продукте SKYSEA Client View. Эта проблема с оценкой 9.8 CVSS была впервые описана в бюллетене Japan Vulnerability Notes (JVN) еще в конце 2016 года.
Уязвимость в SKYSEA Client View позволяет удаленно выполнять код из-за ошибки в обработке аутентификации при TCP-соединении с консолью управления. Важно отметить, что JVN подтвердило факты атак с ее использованием еще в 2016 году, что указывает на долгосрочный характер угрозы.
