NCSC安全通告 | NCSC-2025-0241
基本信息
安全通告编号: NCSC-2025-0241 [1.0.1]
发布日期: 2025年10月17日 12:44(欧洲/阿姆斯特丹)
优先级: 正常
涉及产品: Adobe Experience Manager安全漏洞修复
修订历史
| 版本 | 日期 | 说明 |
|---|---|---|
| 1.0.1 | 2025年10月17日 10:44 | CISA通过KEV报告观察到活跃攻击 |
| 1.0.0 | 2025年8月6日 12:11 | 初始版本 |
漏洞特征
CWE-16: XML外部实体引用限制不当
漏洞描述
Adobe已修复Adobe Experience Manager(版本6.5.23及更早版本)中的安全漏洞。
这些漏洞存在于Adobe Experience Manager的配置中,使得攻击者能够在无需任何用户交互的情况下执行任意代码。这可能导致对受影响系统的未授权访问和控制。此外,还报告了一个与XML外部实体引用(XXE)限制不当相关的漏洞,使得攻击者能够在无需用户交互的情况下读取本地文件系统中的文件。这两个漏洞都对数据的完整性和系统安全构成严重风险。
Adobe表示,这两个漏洞的PoC代码均已公开可用。
美国CISA已将特征为CVE-2025-54253的漏洞列入KEV清单,表明他们已在美国联邦政府内观察到活跃攻击。但未提供更多细节。
由于近期多个博客对这些漏洞的关注,很可能导致已公开的Proof-of-Concept代码引发扫描和攻击流量的增加。
NCSC建议尽快部署更新(如果尚未完成)。
解决方案
Adobe已发布更新以修复这些漏洞。更多信息请参阅附带的参考资料。
参考资料
https://helpx.adobe.com/security/products/aem-forms/apsb25-82.html
CVE编号
- CVE-2025-54253 - CVSS (v3) 10.0
- CVE-2025-54254 - CVSS (v3) 8.6
受影响产品
Adobe
- Adobe Experience Manager
免责声明
荷兰国家网络安全中心(以下简称:NCSC-NL)维护此页面以增强对其信息和安全通告的访问。使用此安全通告需遵守以下条款和条件:
-
NCSC-NL尽一切合理努力确保此页面内容保持最新、准确和完整。然而,NCSC-NL不能完全排除错误的可能性,因此不能保证其完整性、准确性或持续更新。此安全通告中包含的信息仅用于向专业用户提供一般信息。不能从所提供的信息中衍生出任何权利。
-
NCSC-NL和荷兰王国对因使用或无法使用此安全通告而导致的任何损害不承担法律责任或义务。这包括因通告中信息不准确或不完整而造成的损害。
-
本安全通告受荷兰法律管辖。所有与使用本通告相关或由此产生的争议将提交给海牙有管辖权的法院。此选择也适用于简易程序法院。