ID bollettino
Ultimo aggiornamento il
14 ago 2025
Aggiornamenti di sicurezza disponibili per Adobe Experience Manager Forms | APSB25-82
|
|
Data di pubblicazione |
Priorità |
|---|---|---|
|
APSB25-82 |
5 agosto 2025 |
1 |
Riepilogo
Adobe ha rilasciato un aggiornamento di sicurezza per Adobe Experience Manager Forms su Java Enterprise Edition (JEE). Questo aggiornamento risolve le vulnerabilità critiche che potrebbero portare all'esecuzione di codice arbitrario e alla lettura arbitraria del file system.
Adobe è a conoscenza del fatto che per CVE-2025-54253 e CVE-2025-54254 è disponibile pubblicamente una prova di concetto.Adobe non è a conoscenza del fatto che questo problema viene sfruttato in modo incontrollato.
Versioni del prodotto interessate
| Prodotto | Versione | Piattaforma |
|---|---|---|
| Adobe Experience Manager (AEM) Forms su JEE |
6.5.23.0 e versioni precedenti | Tutte |
Soluzione
Adobe classifica questi aggiornamenti in base ai seguenti livelli di priorità e consiglia agli utenti interessati di aggiornare la propria installazione alla versione più recente:
Prodotto |
Versione |
Piattaforma |
Priorità |
Disponibilità |
|---|---|---|---|---|
| Adobe Experience Manager (AEM) Forms su JEE | 6.5.0-0108 | Tutte |
1 |
Istruzioni sull’aggiornamento |
Nota:
Per ricevere assistenza sulle versioni di AEM 6.4, 6.3 e 6.2, gli utenti possono contattare l’Assistenza clienti Adobe.
Dettagli della vulnerabilità
|
Categoria della vulnerabilità |
Impatto della vulnerabilità |
Gravità |
Punteggio base CVSS |
Codice CVE |
|
|---|---|---|---|---|---|
|
Restrizione illecita del riferimento alle entità XML esterne (‘XXE’) (CWE-611) |
Lettura di file system arbitraria |
Critica |
8.6 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:N/A:N |
CVE-2025-54254 |
|
Configurazione errata (CWE-16) |
Esecuzione di codice arbitrario |
Critico |
10.0 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H |
CVE-2025-54253 |
Ringraziamenti
Ringraziamenti
Adobe desidera ringraziare i ricercatori seguenti per la collaborazione e per aver segnalato i problemi specifici, contribuendo così a proteggere la sicurezza dei nostri clienti:
- Shubham Shah e Adam Kues (Assetnote) – CVE-2025-54253, CVE-2025-54254
NOTA: Adobe dispone di un programma di bug bounty privato, solo su invito, con HackerOne. Se sei interessato a lavorare con Adobe come ricercatore di sicurezza esterno, compila questo modulo per le fasi successive.
Per ulteriori informazioni, visitare il sito https://helpx.adobe.com/it/security.html o inviare un’e-mail a PSIRT@adobe.com.
