ID del boletín
Última actualización el
14 ago. 2025
Actualizaciones de seguridad disponibles para Adobe Experience Manager Forms | APSB25-82
|
|
Fecha de publicación |
Prioridad |
|---|---|---|
|
APSB25-82 |
5 de agosto, 2025 |
1 |
Resumen
Adobe ha lanzado una actualización de seguridad para Adobe Experience Manager Forms en Java Enterprise Edition (JEE). Esta actualización soluciona vulnerabilidades críticas que podrían provocar la ejecución de código arbitrario y la escritura arbitraria del sistema de archivos.
Adobe es consciente de que CVE-2025-54253 y CVE-2025-54254 tienen una prueba de concepto disponible públicamente.Adobe no tiene constancia de que estos problemas se exploten en ataques.
Versión afectada del producto
| Producto | Versión | Plataforma |
|---|---|---|
| Adobe Experience Manager (AEM) Forms en JEE |
6.5.23.0 y versiones anteriores | Todas |
Solución
Adobe categoriza estas actualizaciones de acuerdo con los siguientes niveles de prioridad y recomienda que los usuarios actualicen los programas a las versiones más recientes:
Producto |
Versión |
Plataforma |
Prioridad |
Disponibilidad |
|---|---|---|---|---|
| Adobe Experience Manager (AEM) Forms en JEE | 6.5.0-0108 | Todas |
1 |
Instrucciones de actualización |
Nota:
Póngase en contacto con el servicio de atención al cliente de Adobe para obtener ayuda relacionada con AEM 6.4, 6.3 y 6.2.
Detalles sobre la vulnerabilidad
|
Categoría de vulnerabilidad |
Impacto de la vulnerabilidad |
Gravedad |
Puntuación base CVSS |
Número CVE |
|
|---|---|---|---|---|---|
|
Restricción incorrecta de la referencia de entidades externas ('XXE') (CWE-611) |
Lectura arbitraria del sistema de archivos |
Crítica |
8.6 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:N/A:N |
CVE-2025-54254 |
|
Configuración incorrecta (CWE-16) |
Ejecución de código arbitrario |
Crítica |
10.0 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H |
CVE-2025-54253 |
Reconocimientos
Reconocimientos
Adobe desea dar las gracias a las siguientes personas por informar sobre estos problemas y por colaborar con Adobe para ayudarnos a proteger la seguridad de nuestros clientes:
- Shubham Shah y Adam Kues (Assetnote) -- CVE-2025-54253, CVE-2025-54254
NOTA: Adobe tiene un programa privado de detección de errores con HackerOne (solo con invitación). Si le interesa trabajar con Adobe como investigador de seguridad externo, rellene este formulario para los siguientes pasos.
Para obtener más información, visite https://helpx.adobe.com/es/security.html o envíe un correo electrónico a la dirección PSIRT@adobe.com.
