Sicherheitsupdate verfügbar
Adobe stellt Aktualisierung für AEM Forms JEE zur Verfügung (APSB25-82)
Kritische Bedrohung für AEM Forms JEE Nutzer
Adobe hat ein außerplanmäßiges Update für Adobe Experience Manager (AEM) Forms on JEE veröffentlicht. Hintergrund ist die Veröffentlichung einer Prood-of-Concept-Exploit-Kette durch unabhängige Sicherheitsforscher. Diese zeigt auf, wie unter bestimmten Bedingungen – und ohne Authentifizierung – Remote-Code auf verwundbaren Systemen ausgeführt werden kann.
Mit dem aktuellen Update reagiert Adobe proaktiv auf zwei sicherheitsrelevante Schwachstellen, die als sogenannte Zero-Day-Lücken eingestuft wurden. Die Patches stehen ab sofort zur Verfügung und sollten von allen AEM Forms JEE Nutzern zeitnah eingespielt werden.
Details zu den behandelten Themen
Die aktualisierte Version von AEM Forms on JEE behebt zwei Schwachstellen, die im Rahmen der Analyse identifiziert wurden. Nachfolgend finden Sie die technischen Details.
CVE-2025-54253 – Struts2 Konfiguration
- Typ: Fehlkonfiguration (CWE-16)
- Schweregrad: Kritisch
- CVSS-Score: 8.6
- CVSS-Vektor: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:N/A:N
- Betroffener Bereich: /adminui-Modul
- Auswirkung: Remote-Code-Execution
In bestimmten Installationen war der Entwicklungsmodus des Struts2-Frameworks versehentlich aktiv. Dadurch konnte über das /adminui-Modul ein Authentifizierungsumgehungsfehler ausgenutzt werden.
Angreifer waren in der Lage, über Debug-Parameter in HTTP-Anfragen OGNL-Ausdrücke einzuschleusen und auszuführen – ohne vorherige Anmeldung am System.
Dies eröffnet potenziell eine gefährliche Hintertür für unauthentifizierte Code-Ausführung über das Netzwerk.
CVE-2025-54254: XXE-Schwachstelle für Dateisystem-Zugriff
- Typ: XML External Entity (XXE) Schwachstelle (CWE-611)
- Schweregrad: Kritisch
- CVSS-Score: 10.0 (Maximale Kritikalität)
- CVSS-Vektor: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
- Betroffener Bereich: SOAP-Authentifizierungsservice
- Auswirkung: Auslesen beliebiger Dateien vom System
Durch eine unsachgemäße Beschränkung von XML External Entity References (XXE) war es möglich, gezielt gestaltete XML-Payloads an den SOAP-Webservice zu senden.
Diese konnten dazu genutzt werden, beliebige lokale Dateien wie win.ini auszulesen – ebenfalls ohne Authentifizierung. Der Angriff erfolgt ausschließlich über die XML-Verarbeitung im Authentifizierungsmechanismus.
CVE-2025-49533 – Bereits behobene Schwachstelle
Bei dieser Schwachstelle handelt es sich um ein Java-Deserialisierungsproblem im FormServer-Modul von AEM Forms on JEE. In bestimmten Konstellationen verarbeitete ein Servlet benutzerdefinierte Eingaben durch Dekodierung und Deserialisierung, ohne die empfangenen Daten zuvor ausreichend zu validieren.
Dies ermöglichte es Angreifern, speziell präparierte Payloads zu übermitteln und so unauthentifiziert Remote-Code auf dem Zielsystem auszuführen.
Adobe hat diese Lücke bereits im Juli 2025 im Rahmen eines früheren Sicherheitsupdates geschlossen
Chronologie der Meldung
Die Schwachstellen wurden von Shubham Shah und Adam Kues vom Unternehmen Searchlight Cyber entdeckt und im Rahmen einer koordinierten Offenlegung an Adobe gemeldet:
- 28. April 2025: Meldung von drei Schwachstellen an Adobe
- 29. Juli 2025: Nach Warnung bezüglich ihrer Veröffentlichungsfristen publizieren die Forscher eine technische Analyse
- 5. August 2025: Adobe patcht die zwei verbliebenen Schwachstellen
Empfohlene Schutzmaßnahmen für Administratoren
Zur Absicherung bestehender AEM Forms on JEE Installationen empfiehlt Adobe in Übereinstimmung mit den aktuellen Sicherheitsrichtlinien die folgenden Schritte:
Priorität 1: Sicherheitsupdate installieren
-
Installieren Sie zeitnah die von Adobe bereitgestellten Updates und Hotfixes, um die gemeldeten Schwachstellen zu schließen.
-
Die Aktualisierung sollte auf allen betroffenen AEM Forms on JEE Instanzen erfolgen, idealerweise im Einklang mit den unternehmensinternen Freigabeprozessen.
Priorität 2: Temporäre Zugangsbeschränkungen
Falls ein sofortiges Update aktuell nicht umsetzbar ist, raten die meldenden Sicherheitsexperten zu folgenden Maßnahmen:
-
Einschränkung des externen Zugriffs auf betroffene Plattformkomponenten (z. B. durch Netzwerksegmentierung oder Firewall-Regeln)
-
Implementierung zusätzlicher Sicherheitskontrollen auf Netzwerkebene, etwa durch Monitoring-, Intrusion-Detection- oder Access-Control-Systeme
-
Erhöhte Überwachung der betroffenen Systeme, um potenzielle Angriffsversuche frühzeitig zu erkennen
Fazit
Die Kombination aus unauthentifiziertem Remote-Code-Execution und der bereits veröffentlichten Exploit-Kette macht die adressierten Schwachstellen zu einer ernstzunehmenden Bedrohung für alle AEM Forms JEE Nutzer. Die maximale CVSS-Bewertung von 10.0 für CVE-2025-54254 unterstreicht die technische Relevanz und die Dringlichkeit der empfohlenen Maßnahmen.
Unternehmen, die Adobe Experience Manager Forms on JEE im Einsatz haben, sollten die bereitgestellten Updates mit höchster Priorität behandeln und ihre Systeme zeitnah aktualisieren. Da die technischen Details öffentlich dokumentiert wurden, ist davon auszugehen, dass potenzielle Angreifer bereits Zugang zu entsprechenden Informationen haben.
Für Fragen zur Umsetzung, zur Absicherung Ihrer Instanz oder zur Bewertung möglicher Auswirkungen auf Ihre Systemlandschaft stehen wir Ihnen bei eggs unimedia gerne zur Verfügung.
Ihr Projektteam berät Sie dabei umfassend – technisch, strategisch und mit einem klaren Fokus auf Ihre individuelle Systemumgebung.
Wir beobachten die Lage weiterhin aktiv und halten Sie über relevante Entwicklungen auf dem Laufenden.
Weitere Informationen
-
Sicherheitsbulletin APSB25-82
Offizielle Übersicht der behobenen Schwachstellen durch Adobe -
Adobe Severity Ratings
Erklärung zur Bewertungsklassifikation von Sicherheitslücken -
Mitigationsleitfaden für AEM Forms JEE
Technische Hinweise zur Absicherung von Konfiguration und XXE