Adobe Experience Manager (AEM) Forms’daki yeni bir güvenlik açığının aktif olarak kullanıldığı doğrulandı ve ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı’nın (CISA) bu güvenlik açığını Bilinen Açıklardan Yararlanan Güvenlik Açıkları (KEV) kataloğuna eklemesine neden oldu. CVE-2025-54253 olarak takip edilen kusur, Java Enterprise Edition’daki (JEE) Adobe Experience Manager (AEM) Formlarını etkiliyor ve ilk olarak Ağustos 2025’te yama uygulandı.
Yanlış Yapılandırma Uzaktan Kod Yürütülmesine Yol Açar
CVE-2025-54253, AEM Forms’taki, Apache Struts çerçevesini yönetici arayüzünde “devMode”da bırakan bir yanlış yapılandırmadan kaynaklanmaktadır. Kimlik doğrulama atlamayla birleştirilen bu ayar, kimliği doğrulanmamış saldırganların Struts’un değerlendirdiği ifadeleri yürütmesine olanak tanıyarak uzaktan kod yürütmenin (RCE) kapısını açar.
Güvenlik açığı, düşük karmaşıklıktaki saldırılarla kullanılabilir, kullanıcı etkileşimi gerektirmez ve AEM Forms 6.5.23.0 ve önceki sürümlerini etkiler. Güvenlik araştırmacıları, temel nedenin, üretim ortamlarında açığa çıkmaması gereken geliştirici modu yapılandırmalarının güvenliğinin düzgün şekilde sağlanamaması olduğunu belirledi.
Kamu İstismarları CVE-2025-54253 Tehditini Hızlandırıyor
Adobe’nin yamasının yayınlanmasından önce, hem CVE-2025-54253 hem de ilgili bir sorun olan CVE-2025-54254 için kavram kanıtlama (PoC) istismarları kamuya açık olarak paylaşılmıştı. Bu PoC’ler muhtemelen tehdit aktörlerinin istismar girişimlerini hızlandırdı. Her iki güvenlik açığı da kamuya açık olmasına rağmen şu ana kadar KEV kataloğuna yalnızca CVE-2025-54253 eklendi.
CISA, saldırganların doğrudan halka açık PoC’den yararlanıp yararlanmadıklarını veya kendi istismar yöntemlerini geliştirip geliştirmediklerini açıklığa kavuşturmadı. Ajans, KEV kataloğunu güncellerken genellikle teknik ayrıntıları veya atıfları açıklamaz.
Adobe Yaması Ağustos 2025’te Yayınlandı
Adobe, 5 Ağustos 2025’te Güvenlik Bülteni APSB25-82 aracılığıyla her iki güvenlik açığını da giderdi. Şirket, JEE’deki tüm AEM Forms kullanıcılarının 6.5.0-0108 veya sonraki bir sürüme yükseltme yapmalarını istedi. Adobe, danışma sırasında herhangi bir aktif istismardan haberdar olmadığını belirtmişti ancak bu durum artık CISA’nın onayıyla değişti.
İkinci güvenlik açığı olan CVE-2025-54254, rastgele bir dosya sisteminin okunmasına izin verebilecek XML Dış Varlık Referansının Uygunsuz Kısıtlanmasını (CWE-611) içermektedir. Kritik olmasına rağmen aktif olarak kullanıldığı henüz doğrulanmadı.
Federal Kurumlara Kasım Ayına Kadar Düzeltme Emri Verildi
CISA, Federal Sivil Yürütme Organı (FCEB) kurumlarının gerekli güncellemeleri 5 Kasım 2025’e kadar uygulamasını zorunlu kıldı. Bu yönerge, federal ağları bilinen yüksek riskli tehditlere karşı korumaya yönelik daha geniş bir çabanın parçasıdır.
Etkilenen güvenlik açıkları kritik CVSS taban puanları aldı:
- CVE-2025-54253 (Yanlış Yetkilendirme): CVSS 10.0, rastgele kod yürütülmesine olanak tanıyor
- CVE-2025-54254 (XXE Güvenlik Açığı): CVSS 8.6, rastgele dosya okumalarına olanak tanıyor
Her iki güvenlik açığı da Adobe’ye, açıklama ve düzeltmeyi koordine etmek için satıcıyla birlikte çalışan Shubham Shah ve Assetnote’tan Adam Kues tarafından bildirildi.
AEM platformu birçok kuruluş için dijital deneyim sunumunda önemli bir bileşen olsa da bunun gibi yanlış yapılandırmalar, özellikle üretim ortamlarındaki geliştirme özelliklerini açığa çıkardıklarında risklere neden olabilir. Java Enterprise Edition (JEE) karmaşıklığı ile web’den erişilebilen yönetici arayüzlerinin birleşimi, AEM gibi ürünlere yönelik saldırı yüzeyini artırır.
JEE’de Adobe Experience Manager Forms’u çalıştıran sistem yöneticilerinin, sistemlerinin etkilenen sürümleri çalıştırmadığını doğrulamaları ve en son güvenlik güncellemelerini hemen uygulamaları önerilir. Hemen düzeltme eki uygulamak mümkün değilse, özellikle bağımsız bir hizmet olarak dağıtıldığında AEM Forms’un internet erişiminden yalıtılması geçici bir etki azaltma işlevi görebilir.