CISA telah memperingatkan bahwa penyerang secara aktif mengeksploitasi kerentanan dengan tingkat keparahan maksimum di Adobe Experience Manager untuk mengeksekusi kode pada sistem yang belum dipatch.
Dilacak sebagai CVE-2025-54253kelemahan keamanan kritis ini berasal dari kelemahan kesalahan konfigurasi yang memengaruhi Formulir Adobe Experience Manager (AEM) pada JEE versi 6.5.23 dan yang lebih lama.
Eksploitasi yang berhasil dapat memungkinkan pelaku ancaman yang tidak diautentikasi melewati mekanisme keamanan dan mengeksekusi kode arbitrer dari jarak jauh dalam serangan dengan kompleksitas rendah yang tidak memerlukan interaksi pengguna.
Cacat tersebut ditemukan oleh Adam Kues dan Shubham Shah dari Searchlight Cyber, yang mengungkapkannya kepada Adobe pada tanggal 28 April, bersama dengan dua masalah lainnya (CVE-2025-54254 dan CVE-2025-49533).
Namun, Adobe hanya menambal yang terakhir pada bulan April, membiarkan dua lainnya tidak diperbaiki selama lebih dari 90 hari, hingga kedua peneliti keamanan tersebut menerbitkan sebuah tulisan pada tanggal 29 Juli merinci cara kerja kerentanan dan cara eksploitasinya.
Adobe akhirnya merilis pembaruan keamanan pada tanggal 9 Agustus untuk mengatasi kerentanan CVE-2025-54253, mengonfirmasi bahwa kode eksploitasi bukti konsep telah tersedia untuk umum.
Seperti yang dijelaskan Searchlight Cyber, CVE-2025-54253 adalah bypass otentikasi yang mengarah ke eksekusi kode jarak jauh (RCE) melalui Struts DevMode. Para peneliti juga menyarankan admin untuk membatasi akses Internet ke Formulir AEM ketika diterapkan sebagai aplikasi mandiri jika mereka tidak dapat segera menambal perangkat lunak tersebut.
CISA sekarang menambahkan kerentanan ini untuk itu Katalog Kerentanan yang Dieksploitasi yang Diketahuimemberikan waktu tiga minggu kepada lembaga-lembaga Cabang Eksekutif Sipil Federal (FCEB) untuk mengamankan sistem mereka pada tanggal 5 November, sebagaimana diamanatkan oleh Petunjuk Operasional yang Mengikat (BOD) 22-01 yang dikeluarkan pada November 2021.
Meskipun BOD 22-01 menargetkan lembaga-lembaga federal AS, badan keamanan siber tersebut mendorong semua organisasi, termasuk organisasi di sektor swasta, untuk memprioritaskan perbaikan sistem mereka terhadap kelemahan yang dieksploitasi secara aktif ini sesegera mungkin.
“Terapkan mitigasi sesuai instruksi vendor, ikuti panduan BOD 22-01 yang berlaku untuk layanan cloud, atau hentikan penggunaan produk jika mitigasi tidak tersedia,” CISA memperingatkan pada hari Rabu.
“Jenis kerentanan ini sering menjadi vektor serangan bagi pelaku siber jahat dan menimbulkan risiko signifikan bagi perusahaan federal,” itu menambahkan.
Acara Validasi Keamanan Tahun Ini: Picus BAS Summit
Bergabunglah dengan KTT Simulasi Pelanggaran dan Serangan dan mengalami masa depan validasi keamanan. Dengarkan dari pakar terkemuka dan lihat caranya BAS bertenaga AI sedang mengubah simulasi pelanggaran dan serangan.
Jangan lewatkan acara yang akan membentuk masa depan strategi keamanan Anda
