ID do boletim
Última atualização em
23 de out de 2025
Atualizações de segurança disponíveis para o Adobe Experience Manager Forms | APSB25-82
|
|
Data de publicação |
Prioridade |
|---|---|---|
|
APSB25-82 |
5 de agosto de 2025 |
1 |
Resumo
A Adobe lançou uma atualização de segurança para o Adobe Experience Manager Forms na Java Enterprise Edition (JEE). Esta atualização aborda vulnerabilidades críticas que podiam levar a uma execução arbitrária de código e a uma gravação arbitrária do sistema de arquivos.
A Adobe está ciente de que CVE-2025-54253 e CVE-2025-54254 têm uma prova de conceito publicamente disponível. A Adobe não está ciente de que esses problemas estejam sendo explorados mundo afora.
Versões do produto afetado
| Produto | Versão | Plataforma |
|---|---|---|
| Adobe Experience Manager (AEM) Forms em JEE |
Versão 6.5.23.0 e anteriores | Todas |
Solução
A Adobe categoriza essas atualizações com as seguintes classificações de prioridade e recomenda que os usuários atualizem suas instalações para as versões mais recentes:
Produto |
Versão |
Plataforma |
Prioridade |
Disponibilidade |
|---|---|---|---|---|
| Adobe Experience Manager (AEM) Forms em JEE | 6.5.0-0108 | Todas |
1 |
Instruções de atualização |
Observação:
Entre em contato com o Atendimento ao cliente da Adobe para obter assistência com as versões 6.4, 6.3 e 6.2 do AEM.
Detalhes da vulnerabilidade
|
Categoria da vulnerabilidade |
Impacto da vulnerabilidade |
Severidade |
Pontuação base de CVSS |
Número CVE |
|
|---|---|---|---|---|---|
|
Restrição incorreta da referência de entidade externa do XML (‘XXE’) (CWE-611) |
Leitura arbitrária do sistema de arquivos |
Crítico |
8.6 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:N/A:N |
CVE-2025-54254 |
|
Autorização incorreta (CWE-863) |
Execução de código arbitrário |
Crítico |
10.0 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H |
CVE-2025-54253 |
Agradecimentos
Agradecimentos
A Adobe gostaria de agradecer aos seguintes profissionais por terem relatado esses problemas e trabalhado com a Adobe para ajudar a proteger nossos clientes:
- Shubham Shah e Adam Kues (Assetnote) -- CVE-2025-54253, CVE-2025-54254
OBSERVAÇÃO: o Adobe tem um programa de recompensa de bugs privado, apenas para convidados, o HackerOne. Se estiver interessado em trabalhar com a Adobe como pesquisador de segurança externa, preencha este formulário para saber as próximas etapas.
Para mais informações, acesse https://helpx.adobe.com/br/security.html ou envie um email para PSIRT@adobe.com.
