Агентство з кібербезпеки та безпеки інфраструктури США (CISA) попередило організації про експлуатацію критичної вразливості в Adobe Experience Manager Forms (AEM Forms), відстежуваної як CVE-2025-54253 з оцінкою CVSS 10.0. Виявлена дослідниками Shubham Shah та Adam Kues з Searchlight Cyber, вада є проблемою неправильної конфігурації, що поєднує обхід аутентифікації та режим розробки Struts, залишений увімкненим в адмін UI. Це дозволяє зловмисникам створювати пейлоади для виконання виразів Object-Graph Navigation Language (OGNL), використовуючи публічні обхід sandbox для віддаленого виконання коду. Adobe виправила вразливість в out-of-band оновленні на початку серпня для AEM Forms на Java Enterprise Edition (JEE) версії 6.5.0-0108, оскільки proof-of-concept (PoC) експлойт вже був публічно доступний. Те саме оновлення також усунуло CVE-2025-54254 (CVSS 8.6), неправильне обмеження посилань на зовнішні XML-сутності, що призводить до довільного читання файлової системи. Adobe явно зазначила публічний PoC для обох вразливостей та закликала до негайних оновлень. CISA додала CVE-2025-54253 до каталогу Known Exploited Vulnerabilities (KEV), підтверджуючи атаки в реальних умовах, хоча деталі про спостережені експлойти не надані.

AEM Forms є рішенням для створення, управління та публікації цифрових форм та документів, роблячи вразливість особливо ризикованою для організацій, що залежать від неї для enterprise workflow. Згідно з Binding Operational Directive (BOD) 22-01, федеральні агенції повинні ідентифікувати вразливі установки та застосувати патчі протягом трьох тижнів. Хоча ця директива застосовується лише до федеральних сутностей, CISA рекомендує всім організаціям пріоритизувати патчинг вразливостей з KEV для пом’якшення ризиків. Експлуатація може дозволити довільне виконання коду, потенційно призводячи до витоків даних, несанкціонованого доступу чи подальшої компрометації систем. Конкретні впливи від атак не деталізовано, але висока серйозність підкреслює потребу в швидких діях. Цей інцидент слідує за недавнім випуском Adobe патчів для понад 35 дефектів безпеки в її продуктах, висвітлюючи триваючі загрози в екосистемі ПЗ.