La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) agregó el miércoles una falla de seguridad crítica que afecta a Adobe Experience Manager a su catálogo de vulnerabilidades explotadas conocidas (KEV) basándose en evidencia de explotación activa.
La vulnerabilidad en cuestión es CVE-2025-54253 (puntuación CVSS: 10.0), un error de configuración incorrecta de gravedad máxima que puede provocar la ejecución de código arbitrario.
Según Adobe, esta falla afecta a Adobe Experience Manager (AEM) Forms con versiones JEE 6.5.23.0 y anteriores. Este problema se solucionó en la versión 6.5.0-0108, lanzada a principios de agosto de 2025, junto con CVE-2025-54254 (puntuación CVSS: 8,6).
«La falla resulta de la exposición comprometida del servlet /adminui/debug que evalúa las expresiones OGNL proporcionadas por el usuario como código Java, sin requerir autenticación o validación de entrada», señala la firma de seguridad FireCompass. «La explotación de este punto final podría permitir a un atacante ejecutar comandos arbitrarios del sistema con una única solicitud HTTP diseñada».
Actualmente no hay información disponible públicamente sobre cómo se está explotando esta falla de seguridad en ataques del mundo real, pero Adobe reconoce en el aviso que «CVE-2025-54253 y CVE-2025-54254 tienen pruebas de concepto disponibles públicamente».
En vista del abuso activo, se alienta a las agencias del Poder Ejecutivo Civil Federal (FCEB) a aplicar las correcciones necesarias antes del 5 de noviembre de 2025.
Este desarrollo se produce un día después de que CISA agregara la vulnerabilidad crítica de autenticación incorrecta de SKYSEA Client View (CVE-2016-7836, puntuación CVSS: 9.8) al catálogo KEV. Japan Vulnerability Notes (JVN) declaró en un aviso publicado a finales de 2016 que «se han observado ataques que explotan esta vulnerabilidad en la naturaleza».
«SKYSEA Client View contiene una vulnerabilidad de autenticación inadecuada que podría permitir la ejecución remota de código debido a una falla en el proceso de autenticación en las conexiones TCP con el programa de la consola de administración», dijo la agencia.
Source link
