關閉選單
  1. Home
  2. NEWS最新消息
顯示分類
2025.10.17
威脅與風險/資安漏洞
Adobe AEM Forms 漏洞遭利用,多家組織收到警告
報導摘要與漏洞警示

美國網路安全機構 CISA 週三警告稱,最近的 Adob​​e(註) Experience Manager Forms(AEM Forms)漏洞已被利用進行攻擊。此漏洞編號為 CVE-2025-54253(CVSS 評分為 10.0),已於 8 月初透過帶外更新進行修補,因為概念驗證 (PoC) 漏洞已經公開。 研究人員表示,攻擊者可以製作有效載荷來執行物件圖導航語言 (OGNL) 表達式,並可以使用公共沙盒繞過來實現遠端程式碼執行。週三,CISA 將 CVE-2025-54253 添加到其已知被利用漏洞 ( KEV ) 目錄中,警告該漏洞正在被野外利用,但未提供有關觀察到的攻擊的資訊。 根據具有約束力的行動指令 (BOD) 22-01 的規定,聯邦機構有三週的時間來識別其環境中存在漏洞的 AEM Forms 安裝並應用可用的修補程式。本週,Adobe 發布了針對其產品中 35 多個安全缺陷的補丁,其中包括 Connect 協作套件中的一個嚴重問題。

註:

Adobe 每月都會針對旗下產品發布安全性更新,修復可能導致任意程式碼執行、權限提升或資料外洩的漏洞。以下是具體做法與建議:

修補 Adobe 漏洞的步驟

  • 前往 Adobe 官方安全公告頁面
  • 網址:Adobe 安全性公告和建議
  • 查詢您使用的產品是否有最新漏洞公告(如 Acrobat、After Effects、ColdFusion 等)

下載並安裝最新更新

  • 使用 Adobe Creative Cloud 桌面應用程式或產品內建的更新功能
  • 確保更新涵蓋所有受影響版本

漏洞技術細節與攻擊機制

CVE-2025-54253 是一個極為嚴重的安全缺陷,其 CVSS 評分高達滿分 10.0,標誌著其利用難度低、影響極廣。此漏洞被描述為一個配置錯誤問題,一旦被利用,可能導致「任意程式碼執行」(Arbitrary Code Execution)。漏洞的發現者指出,它是「身分驗證繞過」(Authentication Bypass)與管理使用者介面(Admin UI)開啟的 Struts 開發模式兩者結合所致。攻擊者可利用此組合,製作一個惡意的有效載荷(Payload),進而執行「物件圖導航語言」(OGNL)表達式。OGNL 是一種強大的表達式語言,在 Struts 框架中具有高度的彈性,一旦攻擊者能執行自訂的 OGNL,便能透過利用公開的「沙盒繞過」(Public Sandbox Bypasses)技術,最終實現「遠端程式碼執行」(Remote Code Execution, RCE)。RCE 允許攻擊者在受害者的伺服器上執行任何指令,從而完全控制受影響的 AEM Forms 系統,對企業數據和網路基礎設施構成災難性威脅。

 

CISA 列入 KEV 目錄的意義與行動指令

CISA 將 CVE-2025-54253 列入其「已知被利用漏洞」(KEV)目錄,這是對所有組織發出的最緊急警告之一。KEV 目錄的收錄意味著 CISA 擁有確鑿證據,證明該漏洞已在「野外」(In-the-wild)被實際的攻擊者利用。對於聯邦機構而言,此舉觸發了具備約束力的行動指令(BOD)22-01。根據該指令,聯邦機構必須在三週內識別其環境中所有易受攻擊的 AEM Forms 安裝,並立即應用可用的修補程式。雖然 BOD 22-01 僅適用於美國聯邦政府機構,但 CISA 強烈建議所有組織,不論規模和行業,都應將 KEV 目錄中的漏洞修補列為首要任務。該警告強調,PoC 漏洞公開後,惡意行為者迅速將其武器化並投入實戰,凸顯了零日攻擊與快速修補的緊迫性。

 

企業應對與修補建議

Adobe 已於 8 月初發布了針對 AEM Forms on Java Enterprise Edition (JEE) 版本 6.5.0-0108 的帶外更新,修補了此漏洞。該更新同時修復了另一個導致任意檔案系統讀取的 XML 外部實體參考問題(CVE-2025-54254)。企業應將此修補行動視為最優先的資安任務。

  1. 立即更新: 使用 AEM Forms 的組織必須確認其系統已升級到 Adobe 提供的修補版本。鑑於漏洞 CVSS 評分為 10.0 且已被利用,延遲修補將使企業暴露在極高風險之下。
  2. 環境清查: 即使已修補,組織也應進行全面的資產清查,確認環境中沒有任何遺漏或未受管理的 AEM Forms 實例。
  3. 威脅狩獵與鑑識: 組織應檢查日誌與系統活動,以確定在修補前是否已有被攻擊或被利用的跡象。
  4. 關注 Adobe 的季度更新: 本週 Adobe 亦發布了針對 35 個安全缺陷的補丁,包括 Connect 協作套件中的嚴重問題,企業應建立持續性的更新與補丁管理流程,以應對不斷變化的網路威脅。

總體而言,AEM Forms 漏洞事件是對於所有使用企業級內容管理和表單系統的組織一個嚴肅的警鐘:高危險漏洞在 PoC 公開後會被立即武器化,唯一的防線是迅速且徹底的修補。


資料來源:https://www.securityweek.com/organizations-warned-of-exploited-adobe-aem-forms-vulnerability/
 
分析 Adob​​e Experience Manager Forms (AEM Forms) 嚴重漏洞 CVE-2025-54253 遭野外利用事件