Publiczne ujawnienie kodu exploitującego wymusiło reakcję Adobe
25 lipca 2025 r. firma Adobe opublikowała aktualizacje bezpieczeństwa naprawiające dwie luki zero-day, które przez ponad trzy miesiące pozostawały niezałatane mimo wcześniejszych zgłoszeń. Podatności dotyczyły komponentu AEM Forms w wersji Java EE – wykorzystywanego przez wiele instytucji finansowych, administrację publiczną i sektor usługowy do tworzenia formularzy, podpisów elektronicznych i automatyzacji dokumentów. Sytuacja przybrała dynamiczny obrót po tym, jak badacze z firmy Searchlight Cyber, odpowiedzialni za odkrycie błędów, zdecydowali się opublikować pełny opis techniczny luk oraz proof-of-concept exploita. Ich celem było zmobilizowanie Adobe do szybszego działania – i jak się okazało, skutecznie.
Czym groziły luki CVE-2025-54253 i CVE-2025-54254?
Pierwsza z luk, oznaczona jako CVE-2025-54253, dotyczyła błędnie skonfigurowanego trybu deweloperskiego w module administracyjnym aplikacji (/adminui). Umożliwiała atakującym wykonanie kodu na serwerze poprzez przesyłanie spreparowanych żądań HTTP zawierających specjalnie przygotowane wyrażenia OGNL. W ocenie ekspertów była to podatność typu RCE (Remote Code Execution), oceniona jako krytyczna (8,6 w skali CVSS). Druga luka – CVE-2025-54254 – związana była z obsługą zewnętrznych encji XML w jednym z serwisów SOAP, co pozwalało na zdalne odczytanie plików z systemu operacyjnego serwera. W praktyce umożliwiało to m.in. pobieranie danych konfiguracyjnych, kluczy API, tokenów dostępowych lub plików systemowych, bez konieczności logowania. Ta podatność została oceniona na maksymalne 10,0 w skali CVSS, co oznacza absolutny priorytet w kontekście aktualizacji. Wcześniejsza luka – CVE-2025-49533 – załatana przez Adobe 5 sierpnia, również umożliwiała zdalne wykonanie kodu, ale była mniej zaawansowana. Dopiero zestawienie wszystkich trzech błędów pokazało, że możliwe było przeprowadzenie złożonego łańcucha ataku, obejmującego dostęp do wewnętrznego API, wykonanie złośliwego kodu oraz eksfiltrację danych.
Eksperci zalecają natychmiastową instalację aktualizacji
Z perspektywy administratorów IT, sytuacja jest poważna – zwłaszcza że podatności były znane badaczom od kwietnia, a dostępny publicznie exploit może być już testowany przez grupy przestępcze. Adobe poinformowało, że udostępnione poprawki są dostępne w oficjalnych kanałach aktualizacji i dotyczą wszystkich wspieranych wersji AEM Forms na JEE. Dla organizacji, które z jakiegoś powodu nie mogą natychmiast zaktualizować środowiska, zalecane jest tymczasowe zablokowanie dostępu do instancji AEM Forms z poziomu sieci publicznej oraz ręczne wyłączenie trybu developerskiego w konfiguracji aplikacji. Warto również wdrożyć monitoring nietypowej aktywności HTTP oraz uważnie przeanalizować logi serwera z ostatnich tygodni.
Adobe poinformowało, że nie posiada na ten moment informacji o przypadkach realnego wykorzystania luk w atakach. Nie zmienia to jednak faktu, że luka o tak wysokim stopniu krytyczności – zwłaszcza umożliwiająca RCE bez autoryzacji – stanowi bezpośrednie zagrożenie dla integralności i dostępności danych.
