وصله فوری Adobe برای نقص‌های امنیتی بحرانی در AEM Forms

سجاد تیموری 2 هفته پیشآخرین بروزرسانی: مرداد ۱۹, ۱۴۰۴

۰ 0 زمان تقریبی مطالعه 2 دقیقه

وصله فوری Adobe برای نقص‌های امنیتی بحرانی در AEM Forms

انتشار وصله‌های اضطراری Adobe برای دو آسیب‌پذیری روز-صفر در AEM Forms پس از افشای زنجیره سوءاستفاده PoC

شرکت Adobe به‌تازگی به‌روزرسانی‌های اضطراری‌ای را برای رفع دو آسیب‌پذیری روز-صفر در Adobe Experience Manager (AEM) Forms on JEE منتشر کرده است؛ این اقدام پس از آن انجام شد که یک زنجیره exploit مبتنی بر Proof-of-Concept (PoC) افشا شد که امکان اجرای کد از راه دور بدون احراز هویت را روی نمونه‌های آسیب‌پذیر فراهم می‌کرد.

این دو آسیب‌پذیری با شناسه‌های زیر پیگیری می‌شوند:

CVE-2025-54253: پیکربندی نادرست که منجر به اجرای کد دلخواه می‌شود. سطح شدت: “بحرانی” با امتیاز CVSS برابر با ۸٫۶
CVE-2025-54254: محدودسازی نادرست ارجاع به XML External Entity (XXE) که امکان خواندن دلخواه فایل‌ها از سامانه را فراهم می‌کند. سطح شدت: “بحرانی” با امتیاز CVSS برابر با ۱۰٫۰ (حداکثر شدت)

Adobe این آسیب‌پذیری‌ها را در نسخه‌های به‌روزشده طبق اطلاعیه امنیتی رسمی خود وصله کرده است.

کشف این آسیب‌پذیری‌ها توسط Shubham Shah و Adam Kues از شرکت Searchlight Cyber انجام شد. این محققان سه آسیب‌پذیری را – از جمله مورد سومی با شناسه CVE-2025-49533 – در تاریخ ۲۸ آوریل ۲۰۲۵ به Adobe گزارش دادند.

Adobe در ابتدا تنها آسیب‌پذیری CVE-2025-49533 را در تاریخ ۵ آگوست وصله کرد و دو مورد دیگر تا بیش از ۹۰ روز بدون اصلاح باقی ماندند.

پس از هشدار به Adobe درباره جدول زمانی انتشار عمومی، این محققان در تاریخ ۲۹ جولای یک گزارش فنی منتشر کردند که جزئیات نحوه عملکرد و بهره‌برداری از آسیب‌پذیری‌ها را تشریح می‌کرد.

بر اساس این گزارش:

CVE-2025-49533 یک آسیب‌پذیری Java deserialization در ماژول FormServer است که به مهاجمان امکان اجرای کد از راه دور بدون نیاز به احراز هویت را می‌دهد. در این حالت، یک servlet داده‌های ورودی کاربر را بدون اعتبارسنجی deserialize کرده و اجرای دستورات را ممکن می‌سازد.
CVE-2025-54254 یا آسیب‌پذیری XXE، یک سرویس تحت وب مرتبط با احراز هویت SOAP را تحت تأثیر قرار می‌دهد. مهاجم با ارسال یک بار داده XML ساختگی می‌تواند این سرویس را فریب دهد تا فایل‌های محلی (نظیر فایل win.ini) را بدون احراز هویت فاش کند.
CVE-2025-54253 ناشی از authentication bypass در ماژول /adminui به همراه یک پیکربندی نادرست توسعه‌دهنده است. محققان دریافته‌اند که Struts2 development mode به‌اشتباه فعال باقی مانده که امکان اجرای عبارات OGNL از طریق پارامترهای debug در درخواست‌های HTTP را برای مهاجمان فراهم می‌کند.

با توجه به اینکه این آسیب‌پذیری‌ها امکان اجرای کد از راه دور روی سرورهای آسیب‌پذیر را فراهم می‌کنند، اکیداً به تمامی مدیران سیستم توصیه می‌شود که در اسرع وقت آخرین وصله‌ها و hotfixهای منتشرشده را نصب کنند.

در صورت عدم امکان به‌روزرسانی فوری، پژوهشگران به‌طور جدی توصیه می‌کنند که دسترسی به این پلتفرم از طریق اینترنت محدود شود.