CISA, saldırganların yama uygulanmamış sistemlerde kod yürütmek için Adobe Experience Manager’daki maksimum önem derecesine sahip bir güvenlik açığından aktif olarak yararlandıkları konusunda uyardı.
CVE-2025-54253 olarak izlenen bu kritik güvenlik açığı, JEE 6.5.23 ve önceki sürümlerdeki Adobe Experience Manager (AEM) Formlarını etkileyen bir yanlış yapılandırma zayıflığından kaynaklanmaktadır.
Başarılı bir şekilde yararlanma, kimliği doğrulanmamış tehdit aktörlerinin güvenlik mekanizmalarını atlamasına ve kullanıcı etkileşimi gerektirmeyen düşük karmaşıklıktaki saldırılarda uzaktan rastgele kod yürütmesine olanak tanıyabilir.
Kusur, Searchlight Cyber’den Adam Kues ve Shubham Shah tarafından keşfedildi ve bu kusur, diğer iki sorunla birlikte (CVE-2025-54254 ve CVE-2025-49533) 28 Nisan’da Adobe’ye açıklandı.
Ancak Adobe, Nisan ayında yalnızca ikincisini yamaladı ve diğer ikisini 90 günden fazla bir süre boyunca sabit bırakmadı; ta ki iki güvenlik araştırmacısı 29 Temmuz’da güvenlik açıklarının nasıl çalıştığını ve bunlardan nasıl yararlanılabileceğini ayrıntılarıyla anlatan bir yazı yayınlayana kadar.
Adobe nihayet 9 Ağustos’ta CVE-2025-54253 güvenlik açığını gidermek için güvenlik güncellemelerini yayımladı ve kavram kanıtı yararlanma kodunun zaten kamuya açık olduğunu doğruladı.
Searchlight Cyber’ın açıkladığı gibi, CVE-2025-54253, Struts DevMode aracılığıyla uzaktan kod yürütmeye (RCE) yol açan bir kimlik doğrulama bypass’ıdır. Araştırmacılar ayrıca yöneticilere, yazılıma hemen yama uygulayamamaları durumunda, bağımsız bir uygulama olarak dağıtıldığında AEM Forms’a İnternet erişimini kısıtlamalarını da tavsiye etti.
CISA, bu güvenlik açığını Bilinen İstismara Uğrayan Güvenlik Açıkları Kataloğu’na ekleyerek Federal Sivil Yürütme Organı (FCEB) kurumlarına, Kasım 2021’de yayınlanan Bağlayıcı Operasyonel Direktif (BOD) 22-01 uyarınca 5 Kasım’a kadar sistemlerini güvence altına almaları için üç hafta süre tanıdı.
BOD 22-01, ABD federal kurumlarını hedef alsa da siber güvenlik kurumu, özel sektördekiler de dahil olmak üzere tüm kuruluşları, aktif olarak istismar edilen bu kusura karşı sistemlerine mümkün olan en kısa sürede yama uygulamasına öncelik vermeye teşvik etti.
CISA Çarşamba günü, “Satıcı talimatlarına göre azaltımları uygulayın, bulut hizmetleri için geçerli BOD 22-01 kılavuzunu takip edin veya azaltımlar mevcut değilse ürünün kullanımını durdurun” uyarısında bulundu.
“Bu tür güvenlik açıkları, kötü niyetli siber aktörler için sık sık saldırı vektörleri oluşturuyor ve federal kuruluş için önemli riskler oluşturuyor” diye ekledi.
Katılın İhlal ve Saldırı Simülasyon Zirvesi ve deneyimleyin güvenlik doğrulamanın geleceği. En iyi uzmanlardan bilgi alın ve nasıl olduğunu görün Yapay zeka destekli BAS ihlal ve saldırı simülasyonunu dönüştürüyor.
Güvenlik stratejinizin geleceğini şekillendirecek etkinliği kaçırmayın