Adobe近日发布紧急更新,修复了Adobe Experience Manager (AEM) Forms on JEE产品中两项严重零日安全漏洞。此次更新是在研究人员公开了可实现未认证远程代码执行(RCE)的漏洞利用细节后做出的紧急响应。据报道,这两项漏洞分别被编号为CVE-2025-54253和CVE-2025-54254,均被评为“危急”。其中,CVE-2025-54253涉及错误配置与认证绕过,CVE-2025-54254则为XML外部实体(XXE)注入问题,最高CVSS评级达10分。
这些漏洞由Searchlight Cyber的Shubham Shah和Adam Kues发现,能够使攻击者在未认证的情况下远程执行命令或读取本地文件。研究团队曾于2025年4月向Adobe报告,但补丁的发布一度滞后。专家建议所有AEM Forms on JEE的管理员尽快部署最新补丁,并在无法立即更新时限制平台的互联网访问权限。