A Adobe lançou atualizações de emergência para o Adobe Experience Manager (AEM) Forms na plataforma JEE, com o objetivo de corrigir duas falhas de segurança 'zero-day' que podem ser exploradas para executar código remotamente em servidores vulneráveis, sem necessidade de qualquer tipo de autenticação. A urgência da situação foi despoletada após a publicação de uma prova de conceito (PoC) que detalha como encadear as vulnerabilidades para um ataque bem-sucedido.
As falhas, que já estão a ser ativamente monitorizadas, representam um risco significativo para as organizações que utilizam esta plataforma.
As vulnerabilidades em detalhe
As duas falhas críticas foram identificadas com os seguintes códigos:
CVE-2025-54253: Uma má configuração de segurança que permite a execução de código arbitrário. Esta falha foi classificada como "Crítica", com uma pontuação CVSS de 8.6.
CVE-2025-54254: Uma restrição inadequada de entidades externas XML (XXE), que possibilita a leitura arbitrária de ficheiros do sistema. Esta vulnerabilidade recebeu a pontuação máxima de severidade, 10.0, na escala CVSS.
A Adobe já disponibilizou as correções necessárias nas versões mais recentes do software, conforme detalhado no seu boletim de segurança.
Uma divulgação conturbada
A descoberta das vulnerabilidades foi da autoria dos investigadores Shubham Shah e Adam Kues, da Searchlight Cyber, que as reportaram à Adobe a 28 de abril de 2025, juntamente com um terceiro problema (CVE-2025-49533).
Contudo, a resposta da Adobe gerou controvérsia. A empresa corrigiu inicialmente apenas a terceira falha no dia 5 de agosto, deixando as duas vulnerabilidades mais críticas expostas por mais de 90 dias. Perante o prazo de divulgação expirado, os investigadores publicaram um artigo técnico a 29 de julho, onde explicaram em detalhe o funcionamento das falhas e como poderiam ser exploradas.
Como os atacantes podem tomar o controlo
Segundo a análise dos investigadores, a combinação das falhas permite a um atacante obter controlo sobre o servidor. A vulnerabilidade XXE (CVE-2025-54254) afeta um serviço web que lida com autenticação SOAP. Ao enviar um ficheiro XML especificamente manipulado, um atacante consegue enganar o serviço para que este revele ficheiros locais do sistema, como o win.ini, sem precisar de se autenticar.
Por sua vez, a falha CVE-2025-54253 é o resultado de uma combinação perigosa: uma falha de autenticação no módulo /adminui e uma definição de desenvolvimento deixada ativa por engano. Os investigadores descobriram que o modo de desenvolvimento do Struts2 estava ativo, permitindo que atacantes executassem expressões OGNL através de parâmetros de depuração enviados em pedidos HTTP.
O terceiro problema, já corrigido (CVE-2025-49533), era uma falha de desserialização Java no módulo FormServer que, por si só, já permitia a execução remota de código sem autenticação.
Medidas urgentes para administradores
Dado o risco elevado de execução remota de código em servidores vulneráveis, é fortemente recomendado que todos os administradores instalem as atualizações e hotfixes mais recentes o mais rapidamente possível.
Caso a aplicação imediata dos patches não seja viável, os investigadores da Searchlight Cyber aconselham, como medida de mitigação, a restrição total do acesso à plataforma a partir da internet, de modo a evitar possíveis ataques.
Nenhum comentário
Seja o primeiro!