ID biuletynu
Ostatnia aktualizacja
14 sie 2025
Dostępne aktualizacje zabezpieczeń dla programu Adobe Experience Manager Forms | APSB25-82
|
|
Data publikacji |
Priorytet |
|---|---|---|
|
APSB25-82 |
5 sierpnia 2025 r. |
1 |
Podsumowanie
Firma Adobe opublikowała aktualizacje zabezpieczeń dla programu Adobe Experience Manager Forms na Java Enterprise Edition (JEE). Ta aktualizacja usuwa krytyczne luki w zabezpieczeniach, które mogły doprowadzić do wykonania dowolnego kodu i odczytania dowolnych danych w systemie plików.
Adobe jest świadome, że dla luk CVE-2025-54253 i CVE-2025-54254 dostępna jest publicznie weryfikacja koncepcji.Firma Adobe nie posiada informacji o praktycznym wykorzystywaniu tych błędów.
Wersje produktu, których dotyczy problem
| Produkt | Wersja | Platforma |
|---|---|---|
| Adobe Experience Manager (AEM) Forms w wersji JEE |
6.5.23.0 i starsze wersje | Wszystkie |
Rozwiązanie
Firma Adobe dzieli te aktualizacje na kategorie, nadając im następujące oceny ważności, oraz zaleca użytkownikom zaktualizowanie zainstalowanego oprogramowania do najnowszej wersji:
Produkt |
Wersja: |
Platforma |
Priorytet |
Dostępność |
|---|---|---|---|---|
| Adobe Experience Manager (AEM) Forms w wersji JEE | 6.5.0-0108 | Wszystkie funkcje |
1 |
Instrukcje aktualizacji |
Uwaga:
Pomoc dotyczącą wersji 6.4, 6.3 i 6.2 programu AEM można uzyskać w dziale Obsługi klienta firmy Adobe.
Informacje o luce w zabezpieczeniach
|
Kategoria luki w zabezpieczeniach |
Wpływ luki w zabezpieczeniach |
Istotność |
Podstawowy wynik CVSS |
Numer CVE |
|
|---|---|---|---|---|---|
|
Nieprawidłowe ograniczenie odniesienia do zewnętrznej encji XML („XXE”) (CWE-611) |
Odczytanie dowolnych danych w systemie plików |
Krytyczna |
8.6 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:N/A:N |
CVE-2025-54254 |
|
Nieprawidłowa konfiguracja (CWE-16) |
Wykonanie dowolnego kodu |
Krytyczna |
10.0 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H |
CVE-2025-54253 |
Podziękowania
Podziękowania
Firma Adobe składa podziękowania niżej wymienionym za zgłoszenie tych luk w zabezpieczeniach oraz za współpracę z firmą Adobe w celu ochrony naszych klientów:
- Shubham Shah i Adam Kues (Assetnote) — CVE-2025-54253, CVE-2025-54254
UWAGA: Firma Adobe prowadzi z firmą HackerOne prywatny, dostępny tylko za zaproszeniem program nagród za wykryte błędy. Jeśli interesuje Cię współpraca z firmą Adobe w roli zewnętrznego analityka bezpieczeństwa, wypełnij ten formularz, by uzyskać dalsze informacje.
Aby uzyskać więcej informacji, odwiedź https://helpx.adobe.com/pl/security.html lub wyślij wiadomość e-mail na adres PSIRT@adobe.com.
