Adobe(アドビ) Experience Manager Forms(JEE)の脆弱性 CVE-2025-54253がCISAのKEVに登録-至急アップデートを

セキュリティニュース

投稿日時: 更新日時:

Adobe(アドビ) Experience Manager Forms(JEE)の脆弱性 CVE-2025-54253がCISAのKEVに登録-至急アップデートを

米CISAは2025年10月15日、Adobe Experience Manager(AEM)Forms on JEE に存在する任意コード実行の脆弱性 CVE-2025-54253 をKnown Exploited Vulnerabilities(KEV)カタログへ追加しました。CISAは「ベンダーの手順に沿った緩和を適用し、該当しない場合はサービスの利用中止も検討すること」「クラウドサービスはBOD 22-01の指針に従うこと」を求めています

なお、現時点ではランサムウェアでの悪用既知性は  Unknownと明記されています。

対象と影響

Adobeのセキュリティ情報(APSB25-82, 2025年8月5日公開)によると、影響を受けるのは AEM Forms on JEE 6.5.23.0 以前 の全プラットフォームです。内容は次のとおりです。

  • CVE-2025-54253(Incorrect Authorization / 認可不備)

    • 影響:任意コード実行

    • 深刻度:Critical(CVSS 10.0)

    • 条件:ネットワーク経由・低複雑性・認証不要・ユーザー操作不要(CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H)

  • CVE-2025-54254(XXE / 外部エンティティ参照の不備)

    • 影響:任意ファイル読み取り

    • 深刻度:Critical(CVSS 8.6)

    • 条件:ネットワーク経由・低複雑性・認証不要・ユーザー操作不要(CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:N/A:N)

Adobeは、両脆弱性に関するPoC(概念実証コード)が公開済みであることを把握している一方公開当時は悪用事例を認識していないとしています。

ベンダーの対処

Adobeは優先度「Priority 1」として、AEM Forms on JEE を 6.5.0-0108 へ更新するよう推奨しています。研究者クレジットは Shubham Shah 氏 / Adam Kues 氏(Assetnote) に付されています。