Adobe, saldırganların keyfi kod yürütmesini ve etkilenen sistemlerden hassas dosyaları okumasını sağlayabilecek iki ciddi güvenlik açıklarının ardından Java Enterprise Edition’daki Adobe Experience Manager (AEM) formları için kritik güvenlik güncellemeleri yayınladı.
Kritik güvenlik kusurları keşfedildi
Güvenlik araştırmacıları Shubham Shah ve AssetNote’dan Adam Kues, Adobe’nin kurumsal içerik yönetim platformunda iki kritik güvenlik açığı belirlediler.
Ortak güvenlik açığı puanlama sisteminde (CVSS) maksimum 10.0 puan alan CVE-2025-54253, keyfi kod yürütülmesini sağlayan bir yanlış yapılandırma kusurunu temsil eder.
İkinci güvenlik açığı olan CVE-2025-54254, 8.6 CVSS puanı taşır ve yetkisiz dosya sisteminin erişimine izin vermek için uygunsuz XML Harici Varlık (XXE) referans kısıtlamalarından yararlanır.
Güvenlik açıkları, JEE sürüm 6.5.23.0 ve tüm platformlardaki tüm önceki sürümlerde Adobe Experience Manager formlarını etkiler.
| CVE numarası | CVE-2025-54254 | CVE-2025-54253 |
| Güvenlik Açığı Türü | XML harici varlık referansının uygunsuz kısıtlanması (‘xxe’) | Yanlış yapılandırma |
| Darbe | Keyfi dosya sistemi okundu | Keyfi kod yürütme |
| Şiddet | Eleştirel | Eleştirel |
| CVSS taban puanı | 8.6 | 10.0 |
Adobe, her iki güvenlik açığı için kavram kanıtı istismarlarının kamuya açık olduğunu ve potansiyel saldırı riskini önemli ölçüde artırdığını doğruladı.
Ancak şirket, bu güvenlik açıklarının vahşi doğada aktif olarak sömürüldüğünü gözlemlemediğini belirtti.
Adobe, bu güncellemeleri en yüksek güvenlik derecesi olan öncelik 1 durumu ile sınıflandırmış ve kuruluşların yamaları hemen uygulaması için acil ihtiyacını vurgulamaktadır.
Şirket, Adobe’nin Deneyim Ligi belgeleri aracılığıyla ayrıntılı güncelleme talimatları ile her iki güvenlik açığı için kapsamlı bir düzeltme olarak 6.5.0-0108 sürümünü yayınladı.
CVE-2025-54253 Yanlış Yapılandırma Güvenlik Açığı en şiddetli tehdidi oluşturur ve uzak saldırganların kimlik doğrulama veya kullanıcı etkileşimi gerektirmeden keyfi kod yürütmesini sağlar.
CVSS vektörü (CVSS: 3.1/AV: N/AC: L/PR: N/UI: N/S: C/C: H/I: H/A: H), düşük karmaşık olan ağ tabanlı saldırıları ve gizlilik, bütünlük ve kullanılabilirlik üzerinde yüksek etkiyi gösterir.
Bu arada, CVE-2025-54254, rasgele dosya sistemini etkinleştirmek için XXE güvenlik açıklarından yararlanır, potansiyel olarak hassas yapılandırma dosyalarını, kimlik bilgilerini ve diğer kritik verileri ortaya çıkarır.
Bu güvenlik açığı, CVSS CVSS: 3.1/AV: N/AC: L/PR: N/UI: N/S: C/C: H/I: N/A: N’yi taşır, bu da ağ tabanlı saldırılar yoluyla yüksek gizlilik etkisini gösterir.
Bu güvenlik açıkları, kurumsal içerik yönetim sistemlerinde, özellikle de hassas iş verilerini ele alan güvenlik zorluklarını vurgulamaktadır.
Adobe AEM formlarını kullanan kuruluşlar, maruziyetlerini derhal değerlendirmeli ve potansiyel uzlaşmayı önlemek için yama dağıtımına öncelik vermelidir.
Adobe, HackerOne ile özel hata ödül programı aracılığıyla araştırmacıları kabul ederek şirketin kırılganlık açıklamasına yönelik taahhüdünü gösterdi.
Şirket, yalnızca davet programı aracılığıyla güvenlik araştırma sunumlarını kabul etmeye devam ederek gelecekteki güvenlik sorunlarının sorumlu olarak ifşa edilmesini teşvik etmektedir.
Sistem yöneticileri güvenlik güncellemelerini derhal uygulamalı ve uygun güvenlik kontrollerinin mevcut olmasını sağlamak için AEM formları yapılandırmalarını gözden geçirmelidir.
Kamu kavram kanıtı kodunun mevcudiyeti, bu güvenlik açıklarını özellikle kötü amaçlı aktörler için cazip hedefler haline getirir.
The Ultimate SOC-as-a-Service Pricing Guide for 2025– Ücretsiz indir