米CISAは2025年10月15日、Adobe Experience Manager(AEM)Forms on JEE に存在する任意コード実行の脆弱性 CVE-2025-54253 をKnown Exploited Vulnerabilities(KEV)カタログへ追加しました。CISAは「ベンダーの手順に沿った緩和を適用し、該当しない場合はサービスの利用中止も検討すること」「クラウドサービスはBOD 22-01の指針に従うこと」を求めています
なお、現時点ではランサムウェアでの悪用既知性は Unknownと明記されています。
対象と影響
Adobeのセキュリティ情報(APSB25-82, 2025年8月5日公開)によると、影響を受けるのは AEM Forms on JEE 6.5.23.0 以前 の全プラットフォームです。内容は次のとおりです。
-
CVE-2025-54253(Incorrect Authorization / 認可不備)
-
影響:任意コード実行
-
深刻度:Critical(CVSS 10.0)
-
条件:ネットワーク経由・低複雑性・認証不要・ユーザー操作不要(CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H)
-
-
CVE-2025-54254(XXE / 外部エンティティ参照の不備)
-
影響:任意ファイル読み取り
-
深刻度:Critical(CVSS 8.6)
-
条件:ネットワーク経由・低複雑性・認証不要・ユーザー操作不要(CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:N/A:N)
-
Adobeは、両脆弱性に関するPoC(概念実証コード)が公開済みであることを把握している一方、公開当時は悪用事例を認識していないとしています。
ベンダーの対処
Adobeは優先度「Priority 1」として、AEM Forms on JEE を 6.5.0-0108 へ更新するよう推奨しています。研究者クレジットは Shubham Shah 氏 / Adam Kues 氏(Assetnote) に付されています。








