Adobe近日發布了針對Adobe Experience Manager (AEM) Forms on JEE的緊急安全更新，以解決由資安研究公司Searchlight Cyber發現的兩個高風險零日漏洞。更嚴重的是，這些漏洞的概念驗證（PoC）攻擊程式已經被公開，大幅提高了潛在的攻擊風險，迫使企業必須盡速採取行動。

這兩個關鍵漏洞允許攻擊者在未經身分驗證的情況下，執行遠端程式碼，其CVSS風險評分分別為8.6和10.0，顯示其威脅程度極高。
第一個漏洞，編號為CVE-2025-54253，是一個CVSS評分8.6的「設定錯誤」弱點。這個漏洞結合了身分驗證繞過（authentication bypass）和不安全的開發者設定，允許攻擊者執行開放圖形導覽語言（OGNL）表達式。透過利用此漏洞，攻擊者可以在系統上執行任意程式碼，進而取得系統的完全控制權。
第二個漏洞，編號為CVE-2025-54254，則是一個CVSS評分高達10.0的「XML外部實體參照（XXE）限制不當」漏洞。這個漏洞存在於一個負責處理SOAP身分驗證的網路服務中。攻擊者可以透過精心製作的XML酬載，利用此漏洞來讀取本地檔案，甚至可能進一步發動其他攻擊，竊取機密資料。

此外，報告中還提到了另一個Java反序列化（Java deserialization）漏洞，編號為CVE-2025-49533，同樣允許未經身分驗證的遠端程式碼執行，攻擊者可以透過處理用戶輸入的資料來觸發。雖然Adobe已針對此漏洞發布了修補程式，但其與前兩個零日漏洞的結合，使得AEM Forms的資安風險更加複雜。

面對這些緊急的零日漏洞，Adobe強烈建議所有使用AEM Forms on JEE的企業，應立即安裝最新的安全更新與修補程式。如果因故無法立即更新，應採取臨時措施，例如限制平台對網際網路的存取，以降低遭受攻擊的風險。

資料來源：https://www.bleepingcomputer.com/news/security/adobe-issues-emergency-fixes-for-aem-forms-zero-days-after-pocs-released/