Underc0de - La Casa de los Informáticos

Adobe ha lanzado actualizaciones de emergencia para abordar dos vulnerabilidades de día cero críticas en Adobe Experience Manager (AEM) Forms en JEE, tras la divulgación de una cadena de exploits de prueba de concepto (PoC) que puede permitir la ejecución remota de código (RCE) sin autenticación en entornos vulnerables.

Las fallas fueron identificadas como CVE-2025-54253 y CVE-2025-54254, ambas calificadas como críticas por su capacidad para comprometer sistemas empresariales:

• CVE-2025-54253: Se trata de una configuración incorrecta en el módulo de administración de AEM que posibilita la ejecución de código arbitrario en el servidor. Esta vulnerabilidad tiene una puntuación CVSS de 8.6, lo que refleja un riesgo alto, especialmente en entornos expuestos públicamente.
• CVE-2025-54254: Consiste en una restricción incorrecta de la referencia de entidad externa XML (XXE) que permite a un atacante remoto leer archivos arbitrarios del sistema de archivos local. Este fallo ha sido calificado con una puntuación CVSS de 10.0, el máximo en la escala, lo que lo convierte en una amenaza crítica de primer nivel.

Estas vulnerabilidades fueron descubiertas por los investigadores Shubham Shah y Adam Kues, pertenecientes a Searchlight Cyber, quienes las informaron a Adobe el 28 de abril de 2025 junto con una tercera falla: CVE-2025-49533, también grave y relacionada con la deserialización de objetos Java en el módulo FormServer.

Detalles técnicos de las vulnerabilidades en Adobe AEM Forms

Los investigadores explicaron que la tercera vulnerabilidad, CVE-2025-49533, ya había sido parchada por Adobe el 5 de agosto de 2025, pero las otras dos fallas quedaron sin resolver por más de 90 días. Ante la falta de solución y cumpliendo su política de divulgación responsable, publicaron un artículo técnico detallado el 29 de julio, exponiendo el funcionamiento interno y los métodos de explotación de estas vulnerabilidades.

CVE-2025-49533 – Deserialización Java sin autenticación

Este fallo reside en el módulo FormServer, donde un servlet procesa datos de usuario sin validación alguna. El sistema decodifica y deserializa objetos Java directamente desde las solicitudes entrantes, lo que permite a un atacante remoto inyectar cargas maliciosas y ejecutar comandos en el servidor sin necesidad de autenticación previa.

CVE-2025-54254 – Fuga de archivos vía XXE

La vulnerabilidad XXE afecta a un servicio web SOAP que gestiona la autenticación. Mediante el envío de una carga XML especialmente diseñada, los atacantes pueden forzar al servicio a leer archivos locales como win.ini o /etc/passwd, accediendo así a datos sensibles o configuración del sistema. Esto expone seriamente la confidencialidad e integridad de los sistemas afectados.

CVE-2025-54253 – Configuración errónea en modo desarrollo

Finalmente, CVE-2025-54253 surge por una omisión de autenticación en el componente /adminui, combinado con una configuración insegura dejada activa por error. En particular, el modo de desarrollo de Apache Struts2 permanecía habilitado, permitiendo a los atacantes ejecutar expresiones OGNL a través de parámetros de depuración en solicitudes HTTP. Esta combinación deja abierta la puerta para comprometer totalmente el servidor AEM vulnerable.

Recomendaciones de mitigación y medidas de seguridad

Dado que estas vulnerabilidades permiten la ejecución remota de código sin necesidad de credenciales, representan una amenaza inmediata para cualquier instancia de Adobe Experience Manager Forms en JEE no actualizada. Adobe ya ha lanzado actualizaciones de seguridad para corregir estas fallas, por lo que se recomienda encarecidamente a todos los administradores de sistemas:

• Actualizar inmediatamente a la versión más reciente de Adobe AEM Forms en JEE, siguiendo las instrucciones proporcionadas en el boletín oficial de seguridad de Adobe.
• Deshabilitar el modo de desarrollo en entornos de producción y revisar cuidadosamente las configuraciones del servidor.
• Implementar reglas en el firewall para restringir el acceso público al módulo /adminui y a los servicios SOAP que manejen autenticación.
• Auditar los logs de acceso en busca de patrones inusuales o intentos de explotación recientes.
• Establecer políticas de deserialización seguras y validación de datos estricta en todas las interfaces expuestas al usuario.

Si la actualización inmediata no es viable, los investigadores recomiendan al menos restringir el acceso desde Internet a los servicios afectados como medida de mitigación temporal.

En fin, la cadena de vulnerabilidades descubierta en Adobe AEM Forms resalta la importancia de mantener una postura proactiva frente a la seguridad en plataformas empresariales. El uso de configuraciones inseguras, combinadas con prácticas comunes como la deserialización sin validación, puede dejar incluso a soluciones líderes como Adobe AEM expuestas a compromisos graves.

La rápida acción de Adobe para parchear estas fallas es un paso positivo, pero la responsabilidad última recae en los administradores de sistemas para aplicar los parches de forma inmediata y mitigar cualquier riesgo derivado de estas vulnerabilidades críticas.

Fuente: https://www.bleepingcomputer.com/