Adobe schließt kritische Zero-Day-Lücken in AEM Forms nach Veröffentlichung von Exploit-Details

Adobe hat kurzfristig Sicherheitsupdates für Adobe Experience Manager (AEM) Forms auf JEE bereitgestellt, nachdem Proof-of-Concept-Exploitcodes (PoCs) zu zwei bislang ungepatchten Zero-Day-Schwachstellen öffentlich wurden. Die Lücken erlauben nicht authentifizierte Angriffe und Remote-Codeausführung auf verwundbaren Systemen.

Die beiden Schwachstellen werden unter den Kennungen CVE-2025-54253 und CVE-2025-54254 geführt. Ersteres betrifft eine Fehlkonfiguration, die es Angreifern ermöglicht, beliebigen Code auszuführen. Die Sicherheitslücke wird mit einem CVSS-Score von 8,6 als kritisch eingestuft. Bei CVE-2025-54254 handelt es sich um eine XXE-Schwachstelle (XML External Entity), die das unautorisierte Auslesen von Dateien aus dem Dateisystem erlaubt – bewertet mit dem maximalen CVSS-Wert von 10,0.

Beide Lücken wurden von Sicherheitsforschern Shubham Shah und Adam Kues von Searchlight Cyber entdeckt und am 28. April 2025 an Adobe gemeldet – zusammen mit einer weiteren Sicherheitslücke, CVE-2025-49533. Während Letztere bereits am 5. August geschlossen wurde, blieben die beiden kritischen Schwachstellen über 90 Tage lang ungepatcht.

Nach Ablauf des Koordinationszeitraums veröffentlichten die Forscher am 29. Juli einen technischen Bericht mit Details zu den Angriffsmöglichkeiten. Dieser offenbarte unter anderem, dass CVE-2025-49533 auf eine Java-Deserialisierungslücke im FormServer-Modul zurückgeht. Hier verarbeitet ein Servlet Benutzereingaben unsicher und erlaubt so das Einschleusen und Ausführen von Schadcode.

Bei der XXE-Lücke (CVE-2025-54254) betrifft die Schwachstelle einen SOAP-basierten Authentifizierungsdienst. Angreifer können über manipulierte XML-Nutzdaten beispielsweise lokale Dateien wie win.ini auslesen – ohne vorherige Authentifizierung.

CVE-2025-54253 wiederum ist auf eine fehlerhafte Authentifizierung im Modul /adminui zurückzuführen. Die Ursache: Eine Entwicklerkonfiguration – konkret der aktivierte Dev-Modus von Struts2 – blieb versehentlich aktiv. Dadurch konnten Angreifer OGNL-Ausdrücke über spezielle HTTP-Parameter einschleusen und ausführen.

Da alle drei Schwachstellen potenziell zur vollständigen Kompromittierung betroffener Systeme führen können, rät Adobe dringend zur sofortigen Installation der veröffentlichten Updates. Sollte dies nicht zeitnah möglich sein, empfehlen die Forscher, den öffentlichen Zugriff auf AEM-Instanzen übergangsweise einzuschränken.

Mitigating RCE (CVE-2025-49533), Struts Dev Mode Configuration (CVE-2025-54253), XXE (CVE-2025-54254), and Vulnerabilities for AEM Forms on JEE

Adobe Security Bulletin

Fazit:

Die Sicherheitsforscher von Searchlight Cyber zeigen sich überrascht über die Einfachheit der von ihnen entdeckten Schwachstellen in Adobes AEM Forms. Die Sicherheitslücken seien keineswegs komplex, sondern betreffen grundlegende Aspekte, die – so die Einschätzung des Teams – längst hätten erkannt und behoben werden müssen. Besonders kritisch sehen die Experten die Tatsache, dass es sich bei AEM Forms, vormals bekannt als LiveCycle, um eine Software handelt, die seit nahezu 20 Jahren in Unternehmen im Einsatz ist.

Zudem stößt auf Unverständnis, dass der sogenannte Struts DevMode in einer produktiven Unternehmensanwendung standardmäßig aktiviert war – eine Konfiguration, die potenziell gravierende Remote-Code-Execution-Angriffe (RCE) ermöglicht.

Angesichts der Vielzahl entdeckter Schwachstellen und fehlender Patches – insbesondere für die XXE- und Authentifizierungsumgehungsprobleme, die sich zu einer RCE-Kette verbinden lassen – rät das Team dringend, den Zugriff auf AEM Forms im Standalone-Modus ausschließlich auf interne Netzwerke und autorisierte Nutzer zu beschränken.

Zeitplan Searchlight Cyber

• 28. April 2025: Wir senden unsere erste Offenlegung über psirt@adobe.com an Adobe.
• 13. Mai 2025: Wir senden eine Folge-E-Mail mit zusätzlichen Anmerkungen an Adobe.
• 13. Mai 2025: Wir wenden uns außerhalb des üblichen Kanals an einen Mitarbeiter des Adobe-Sicherheitsteams und bitten ihn, die gemeldeten Probleme zu überprüfen.
• 14. Mai 2025: Adobe weist den AEM Forms-Berichten die Nummer VULN-31606 zu.
• 11. Juni 2025: Adobe antwortet auf die E-Mail-Korrespondenz mit Details zu einem Patch für eine völlig andere Reihe von Sicherheitslücken.
• 11. Juni 2025: Wir bitten um Klarstellung, auf welche Sicherheitslücken sich Adobe bezieht, da diese nicht mit AEM Forms in Zusammenhang stehen.
• 13. Juni 2025: Adobe entschuldigt sich und gibt einen Status zu den gemeldeten Sicherheitslücken für AEM Forms bekannt (in Bearbeitung).
• 22. Juli 2025: Wir erinnern Adobe an die 90-tägige Frist für die Offenlegung der AEM Forms-Fehler
• 26. Juli 2025: Da wir keine Antwort erhalten haben, erinnern wir Adobe erneut an die bevorstehende Offenlegung
• 28. Juli 2025: Da wir keine Antwort erhalten haben, erinnern wir Adobe ein letztes Mal an die bevorstehende Offenlegung

Quellen: Adobe und Searchlight Cyber

Weitere lesenswerte Artikel im Überblick

---