کمیته رکن چهارم – آژانس امنیت سایبری ایالات متحده (CISA) روز چهارشنبه، ۱۶ اکتبر ۲۰۲۵، نسبت به یک آسیبپذیری بحرانی در نرمافزار Adobe Experience Manager هشدار داد. این نقص امنیتی با شناسه CVE-2025-54253 و امتیاز کامل ۱۰٫۰، بهصورت فعال در حال بهرهبرداری است.
به گزارش کمیته رکن چهارم، این آسیبپذیری نسخههای Adobe AEM Forms on JEE 6.5.23.0 و پایینتر را تحت تأثیر قرار میدهد. وصله امنیتی مربوطه در نسخه ۶٫۵٫۰-۰۱۰۸ در اوت ۲۰۲۵ منتشر شده است. این وصله همچنین آسیبپذیری دیگری با شناسه CVE-2025-54254 با امتیاز ۸٫۶ را نیز برطرف میکند.
این دو نقص امنیتی در ژوئیه ۲۰۲۵ توسط پژوهشگران شرکت Searchlight Cyber شناسایی شدند. آنها اعلام کردند که آسیبپذیری اصلی به مهاجم اجازه میدهد با دور زدن احراز هویت و بهرهبرداری از تنظیمات توسعهدهنده، کدهای مخرب را روی سرور اجرا کند. آسیبپذیری دوم نیز مربوط به تزریق XML در سرویسهای وب AEM است.
شرکت FireCompass در گزارشی نوشت که مهاجم میتواند تنها با ارسال یک درخواست دستساز، کنترل سیستم را در اختیار بگیرد. با وجود عدم انتشار جزئیات فنی بهرهبرداری، شرکت Adobe تأیید کرده که برای هر دو آسیبپذیری کد اثبات مفهومی (PoC) بهصورت عمومی در دسترس قرار دارد.
در پی این هشدار، CISA از نهادهای دولتی آمریکا خواسته است تا پیش از ۵ نوامبر ۲۰۲۵ اقدام به نصب وصلههای امنیتی کنند. این هشدار تنها یک روز پس از اضافه شدن آسیبپذیری CVE-2016-7836 مربوط به نرمافزار SKYSEA Client View به لیست KEV صادر شده است.
با توجه به بهرهبرداری فعال و در دسترس بودن PoC، به تمام سازمانها توصیه میشود بهسرعت سیستمهای خود را بهروزرسانی کرده، دسترسیهای غیرضروری را محدود و اقدامات نظارتی دقیقتری برای محافظت از سرورها اعمال کنند.
