ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), Çarşamba günü, aktif istismar kanıtlarına dayanarak Bilinen İstismar Edilen Güvenlik Açıkları (KEV) kataloğuna Adobe Experience Manager’ı etkileyen kritik bir güvenlik açığı ekledi.
Söz konusu güvenlik açığı, rastgele kod yürütülmesine neden olabilecek maksimum önem derecesine sahip bir yanlış yapılandırma hatası olan CVE-2025-54253’tür (CVSS puanı: 10,0).
Adobe’ye göre bu eksiklik, JEE’nin 6.5.23.0 ve önceki sürümlerindeki Adobe Experience Manager (AEM) Formlarını etkiliyor. Bu sorun, CVE-2025-54254 (CVSS puanı: 8,6) ile birlikte Ağustos 2025’in başlarında yayınlanan 6.5.0-0108 sürümünde ele alınmıştır.
Güvenlik şirketi FireCompass, kusurun, kullanıcı tarafından sağlanan OGNL ifadelerini kimlik doğrulama veya giriş doğrulama gerektirmeden Java kodu olarak değerlendiren, tehlikeli bir şekilde açığa çıkan /adminui/debug sunucu uygulamasından kaynaklandığını belirtti. “Uç noktanın kötüye kullanılması, saldırganların tek hazırlanmış bir HTTP isteğiyle rastgele sistem komutları yürütmesine olanak tanıyor.”
Adobe, tavsiye belgesinde “CVE-2025-54253 ve CVE-2025-54254’ün kamuya açık bir kavram kanıtına sahip olduğunu” kabul etse de, gerçek dünyadaki saldırılarda güvenlik açığından nasıl yararlanıldığına ilişkin şu anda kamuya açık bir bilgi bulunmuyor.
Aktif kullanımın ışığında, Federal Sivil Yürütme Organı (FCEB) kurumlarının 5 Kasım 2025’e kadar gerekli düzeltmeleri uygulamaları tavsiye ediliyor.
Bu gelişme, CISA’nın SKYSEA Client View’da (CVE-2016-7836, CVSS puanı: 9,8) kritik bir uygunsuz kimlik doğrulama güvenlik açığını KEV kataloğuna eklemesinden bir gün sonra gerçekleşti. Japonya Güvenlik Açığı Notları (JVN), 2016’nın sonlarında yayınlanan bir danışma belgesinde “bu güvenlik açığından yararlanan saldırıların vahşi doğada gözlemlendiği” belirtildi.
Ajans, “SKYSEA Client View, yönetim konsolu programıyla TCP bağlantısında kimlik doğrulamanın işlenmesindeki bir hata yoluyla uzaktan kod yürütülmesine izin veren uygunsuz bir kimlik doğrulama güvenlik açığı içeriyor” dedi.