Tiedotteen tunnus
Päivitetty viimeksi
14. elokuuta 2025
Adobe Experience Manager Formsin tietoturvapäivitykset | APSB25-82
|
|
Julkaisupäivä |
Prioriteetti |
|---|---|---|
|
APSB25-82 |
5. elokuuta 2025 |
1 |
Yhteenveto
Adobe on julkaissut Adobe Experience Manager Formsille tietoturvapäivityksen Java Enterprise Editionissa (JEE). Tämä päivitys ratkaisee kriittisiä haavoittuvuuksia, jotka voivat johtaa mielivaltaisen koodin suoritukseen ja mielivaltaiseen tiedostojärjestelmän lukuun.
Adobe on tietoinen, että haavoittuvuuksista CVE-2025-54253 ja CVE-2025-54254 on julkisesti saatavilla konseptitodistus.Adobe ei ole tietoinen siitä, että näitä ongelmia olisi hyödynnetty käytännössä.
Alttiit tuoteversiot
| Tuote | Versio | Ympäristö |
|---|---|---|
| Adobe Experience Manager (AEM) Forms JEEssä |
6.5.23.0 ja aiemmat versiot | Kaikki |
Ratkaisu
Adobe luokittelee päivitykset seuraavan prioriteettiluokituksen mukaisesti ja suosittelee käyttäjiä päivittämään asennuksensa uusimpaan versioon:
Tuote |
Versio |
Käyttöympäristö |
Prioriteetti |
Saatavuus |
|---|---|---|---|---|
| Adobe Experience Manager (AEM) Forms JEEssä | 6.5.0-0108 | Kaikki |
1 |
Päivitysohjeet |
Huomautus:
Ota yhteyttä Adoben asiakaspalveluun, jos tarvitset apua AEM:n versioihin 6.4, 6.3 ja 6.2 liittyen.
Lisätietoja haavoittuvuuksista
|
Haavoittuvuusluokka |
Haavoittuvuuden vaikutus |
Vakavuus |
CVSS-peruspisteet |
CVE-numero |
|
|---|---|---|---|---|---|
|
Sopimaton XML:n ulkoisen kohteen viitteen rajoitus (XXE) (CWE-611) |
Mielivaltainen tiedostojärjestelmän luku |
Kriittinen |
8.6 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:N/A:N |
CVE-2025-54254 |
|
Virheellinen määritys (CWE-16) |
Mielivaltaisen koodin suoritus |
Kriittinen |
10.0 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H |
CVE-2025-54253 |
Kiitokset
Kiitokset
Adobe haluaa kiittää seuraavia henkilöitä näistä ongelmista ilmoittamisesta ja yhteistyöstä Adoben kanssa sen asiakkaiden suojaamisessa:
- Shubham Shah ja Adam Kues (Assetnote) – CVE-2025-54253, CVE-2025-54254
HUOMAUTUS: Adobella on HackerOnessa yksityinen, vain kutsutuille tarkoitettu buginmetsästysohjelma. Jos olet kiinnostunut työskentelemään Adoben kanssa ulkopuolisena tietoturvatutkijana, täytä tämä lomake, niin saat ohjeet.
Saat lisätietoja siirtymällä osoitteeseen https://helpx.adobe.com/security.html, tai lähettämällä sähköpostia osoitteeseen PSIRT@adobe.com.
