Adobe, AEM Forms’ta kimlik doğrulamasız uzaktan kod çalıştırmaya izin veren iki sıfırıncı gün açığı için acil yama yayımladı

Adobe, Adobe Experience Manager (AEM) Forms on JEE için iki kritik sıfırıncı gün güvenlik açığını kapatan acil güncellemeler yayımladı. CVE-2025-54253 ve CVE-2025-54254 olarak izlenen açıklar, kimlik doğrulaması gerekmeksizin uzaktan kod çalıştırma ve yerel dosya okuma saldırılarına olanak tanıyor.

CVE-2025-54253, /adminui modülündeki kimlik doğrulama atlatma hatası ve yanlış yapılandırılmış geliştirici ayarından kaynaklanıyor. Struts2’nin geliştirme modunun açık bırakılması, saldırganların HTTP istekleriyle OGNL ifadeleri çalıştırmasına imkân veriyor. Bu açık, CVSS 8.6 “kritik” olarak derecelendirildi.

CVE-2025-54254 ise SOAP tabanlı kimlik doğrulama hizmetinde yer alan XML External Entity (XXE) zafiyetinden kaynaklanıyor. Özel hazırlanmış XML istekleriyle saldırganlar, kimlik doğrulama olmadan sunucu üzerindeki yerel dosyaları (örneğin win.ini) okuyabiliyor. Bu açık CVSS 10.0 ile “maksimum kritik” seviyede değerlendirildi.

Söz konusu güvenlik sorunlarını Shubham Shah ve Adam Kues (Searchlight Cyber) 28 Nisan 2025’te Adobe’a bildirdi. Üçüncü bir açık olan CVE-2025-49533 (Java deserialization yoluyla RCE) ise aynı güncelleme paketiyle giderildi. Araştırmacılar, 90 günlük bekleme süresi dolduktan sonra 29 Temmuz’da teknik ayrıntıları kamuya açıkladı.

Adobe, yöneticilere en kısa sürede en son güncellemeleri ve hotfix’leri yüklemelerini tavsiye etti. Güncelleme imkânı olmayan sistemlerde ise platform erişiminin internetten kısıtlanması önerildi.

Kaynak: CUMHA - CUMHUR HABER AJANSI