Adobe AEM高危漏洞获满分10.0评分：现役攻击警报

“又一个网络安全漏洞被添加到CISA的已知被利用漏洞目录中。”

基于活跃攻击的证据，美国网络安全与基础设施安全局（CISA）于周三将影响Adobe Experience Manager的一个重大安全问题添加到其已知被利用漏洞（KEV）列表中。

该漏洞是一个最高严重性的配置错误问题，被命名为CVE-2025-54253（CVSS评分：10.0），有可能导致任意代码执行。

Adobe Experience Manager (AEM) Forms on JEE 版本6.5.23.0及以下受此漏洞影响。2025年8月初发布的版本6.5.0-0108已修复此问题，同时修复的还有CVE-2025-54254（CVSS评分：8.6）。

漏洞源于/adminui/debug servlet，该服务端点在无需身份验证或输入验证的情况下，将用户提供的OGNL表达式作为Java代码执行。

“通过滥用该端点，攻击者可以利用一个精心构造的HTTP请求来执行任意系统操作。”

尽管Adobe在其公告中承认“CVE-2025-54253和CVE-2025-54254存在公开可用的概念验证”，但目前关于该安全弱点在实际攻击中如何被利用的信息尚未公开。

鉴于活跃攻击，建议联邦民事行政部门机构在2025年11月5日前实施必要的修复措施。

此次进展发生的前一天，CISA还将SKYSEA Client View中的一个重大身份验证错误漏洞（CVE-2016-7836，CVSS评分：9.8）添加到了KEV目录中。

日本漏洞笔记在2016年末的一份公告中指出，“已观察到在野利用此漏洞的攻击。”

SKYSEA Client View中的身份验证不当漏洞允许通过与管理控制台应用程序的TCP连接上的身份验证处理错误进行远程代码执行。