Cơ quan An ninh Cơ sở hạ tầng và An ninh mạng Hoa Kỳ (CISA) vào thứ Tư đã thêm một lỗ hổng bảo mật nghiêm trọng ảnh hưởng đến Adobe Experience Manager vào danh mục Known Exploited Vulnerabilities (KEV) của mình, dựa trên bằng chứng về việc bị khai thác tích cực.
Lỗ hổng được đề cập là CVE-2025-54253 (điểm CVSS: 10.0), một lỗi cấu hình sai có mức độ nghiêm trọng tối đa, có thể dẫn đến thực thi mã tùy ý.
Theo Adobe, lỗ hổng này ảnh hưởng đến Adobe Experience Manager (AEM) Forms trên các phiên bản JEE 6.5.23.0 trở về trước. Nó đã được khắc phục trong phiên bản 6.5.0-0108, phát hành vào đầu tháng 8 năm 2025, cùng với CVE-2025-54254 (điểm CVSS: 8.6).
Lỗ hổng phát sinh từ servlet /adminui/debug bị lộ một cách nguy hiểm, vốn đánh giá các biểu thức OGNL do người dùng cung cấp dưới dạng mã Java mà không yêu cầu xác thực hoặc kiểm tra đầu vào," công ty bảo mật FireCompass lưu ý. "Việc lạm dụng điểm cuối này cho phép kẻ tấn công thực thi các lệnh hệ thống tùy ý chỉ với một yêu cầu HTTP được tạo sẵn."
Hiện tại không có thông tin công khai về cách lỗ hổng bảo mật này đang bị khai thác trong các cuộc tấn công thực tế, mặc dù Adobe đã thừa nhận trong khuyến cáo của mình rằng "CVE-2025-54253 và CVE-2025-54254 có một proof-of-concept công khai."
Do đang bị khai thác tích cực, các cơ quan Federal Civilian Executive Branch (FCEB) được khuyến nghị áp dụng các bản vá cần thiết trước ngày 5 tháng 11 năm 2025.
Diễn biến này diễn ra một ngày sau khi CISA cũng thêm một lỗ hổng xác thực không đúng cách nghiêm trọng trong SKYSEA Client View (CVE-2016-7836, điểm CVSS: 9.8) vào danh mục KEV. Japan Vulnerability Notes (JVN), trong một khuyến cáo phát hành vào cuối năm 2016, cho biết "các cuộc tấn công khai thác lỗ hổng này đã được quan sát thấy trong thực tế."
"SKYSEA Client View chứa một lỗ hổng xác thực không đúng cách cho phép thực thi mã từ xa thông qua một lỗ hổng trong quá trình xử lý xác thực trên kết nối TCP với chương trình bảng điều khiển quản lý," cơ quan này cho biết.
