CISA alerta para vulnerabilidade crítica no Adobe AEM sob exploração ativa

A Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) emitiu um alerta urgente nesta quarta-feira, adicionando uma falha crítica de segurança que afeta o Adobe Experience Manager (AEM) ao seu Catálogo de Vulnerabilidades Exploradas Conhecidas (KEV). A inclusão é baseada em evidências sólidas de que a falha já está sendo ativamente explorada em ataques reais.

A vulnerabilidade em questão, identificada como CVE-2025-54253, recebeu a pontuação máxima de 10,0 no sistema CVSS, o que a classifica como de gravidade extrema. Trata-se de um bug de configuração incorreta que pode levar à execução de código arbitrário sem a necessidade de autenticação.

De acordo com a Adobe, a deficiência de segurança afeta o AEM Forms nas versões 6.5.23.0 e anteriores do JEE. A correção foi disponibilizada no início de agosto de 2025, com o lançamento da versão 6.5.0-0108, que também abordou a vulnerabilidade CVE-2025-54254 (pontuação CVSS: 8,6).

A raiz do problema reside na exposição perigosa do servlet /adminui/debug. A empresa de segurança FireCompass explicou que esse servlet avalia expressões OGNL (Object-Graph Navigation Language) fornecidas pelo usuário como código Java, sem aplicar qualquer autenticação ou validação de entrada. "O uso indevido do endpoint permite que invasores executem comandos arbitrários do sistema com uma única solicitação HTTP criada," detalhou a FireCompass.

Embora a CISA tenha confirmado a exploração ativa, ainda não há detalhes publicamente disponíveis sobre como a falha está sendo capitalizada nos ataques no mundo real. No entanto, a própria Adobe reconheceu em seu comunicado que a vulnerabilidade CVE-2025-54253 (junto com a CVE-2025-54254) já possui uma prova de conceito (PoC) disponível publicamente, elevando o risco de proliferação de ataques.

Em face da exploração ativa confirmada, a CISA aconselhou que as agências do Poder Executivo Civil Federal (FCEB) dos EUA apliquem as correções necessárias com máxima urgência, estabelecendo o prazo final de 5 de novembro de 2025.

Este desenvolvimento segue a adição de outra vulnerabilidade crítica ao catálogo KEV pela CISA um dia antes: uma falha crítica de autenticação indevida no SKYSEA Client View (CVE-2016-7836, pontuação CVSS: 9,8). Em 2016, o Japan Vulnerability Notes (JVN) já havia notado que "ataques explorando essa vulnerabilidade foram observados em campo."

Segundo a agência, o SKYSEA Client View apresentava uma falha de autenticação imprópria que possibilitava a execução remota de código através do processamento falho na conexão TCP com o programa do console de gerenciamento.

Via - THN