Adobe AEM Forms 0-Day Vulnerability Let Attackers Execute Arbitrary Code
2025/08/06 CyberSecurityNews — Adobe が公開したのは、Java Enterprise Edition (JEE) 上の Adobe Experience Manager Forms に存在する、2件の深刻なゼロデイ脆弱性に対する緊急セキュリティ・アップデートである。これらの脆弱性の悪用に成功した攻撃者は、任意のコード実行やファイル・システムへの不正アクセスを引き起こす可能性を手にする。これらの脆弱性 CVE-2025-54253/CVE-2025-54254 に対して、Adobe は Critical と評価しており、PoC エクスプロイトも公開済みである。
主なポイント
- この2件の脆弱性により、認証を必要としないコード実行および、不正なファイル・アクセスが可能となる。
- すでに PoC エクスプロイトが一般公開されており、攻撃のリスクが高まっている。
- AEM Forms JEE の、速やかなアップデートが推奨される。
Adobe AEM Forms の脆弱性
最も深刻な脆弱性 CVE-2025-54253 は、CWE-16 に分類されるミスコンフィグに起因しており、CVSS ベース・スコアは最大値 10.0 となっている。
この脆弱性を悪用する攻撃者は、ユーザーによる認証や操作を必要とせずに、任意のコードを実行の可能性を手にする。
CVSS ベクター:(CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H)
この脆弱性は、ネットワーク経由での悪用が可能であり、攻撃の複雑さが低いため、インターネット接続下で運用される、AEM Forms の導入環境でのリスクが高まる。
2件目の脆弱性 CVE-2025-54254 は、CWE-611 に分類される XML 外部エンティティ参照 (XXE) 攻撃に対する、不適切な制限に関連するものであり、CVSS スコアは 8.6 である。
CVSS ベクター:(CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:N/A:N)
この脆弱性の悪用に成功した攻撃者は、任意のファイル・システムの読み取りを達成し、機密性の高いコンフィグ・ファイル/認証情報などの重要データが漏洩する可能性がある。
この2つの脆弱性が影響を及ぼす範囲は、Adobe Experience Manager (AEM) Forms で JEE バージョン 6.5.23.0 以下を使用する、すべてのプラットフォームとなる。
これらの重大な脆弱性を発見したのは、Assetnote のセキュリティ研究者 Shubham Shah と Adam Kues であり、適切な情報開示プロセスを通じて Adobe に報告された。
| CVE | Title | CVSS 3.1 Score | Severity |
| CVE-2025-54253 | Misconfiguration (CWE-16) – Arbitrary Code Execution | 10.0 | Critical |
| CVE-2025-54254 | XML External Entity Reference (XXE) – Arbitrary File System Read | 8.6 | Critical |
緩和策
Adobe が警告するのは、CVE-2025-54253/CVE-2025-54254 に対する PoC エクスプロイトが、すでに公開されており、悪用の可能性が高くなっていることだ。
ただし、現時点において Adobe は、これらの脆弱性が実際に悪用されたという報告を確認していないと述べている。
影響を受ける AEM Forms 環境を運用している組織にとって必要なことは、この2つの脆弱性を修正した、バージョン 6.5.0-0108 への速やかなアップデートである。
このアップデートに対して、Adobe は優先度1を指定し、パッチ適用の緊急性を明確にしている。詳細な更新手順については、Adobe の Experience League ドキュメント・プラットフォームを参照してほしい。
これらのゼロデイ脆弱性の発見が示すのは、エンタープライズ向けコンテンツ管理システムにおいて、最新のセキュリティ・パッチを維持することの重要性である。
それぞれの組織に求められるのは、迅速なパッチ適用のプロセスに加えて、適切なネットワーク・セグメンテーションとアクセス制御を導入することで、AEM Forms のインフラへの潜在的な侵害を防ぐことだ。
Adobe Experience Manager Forms JEE に、2件の深刻なゼロデイ脆弱性が発見されました。1件目の CVE-2025-54253 は、ミスコンフィグが原因となり、認証を必要としない任意コード実行が可能にいたるものです。2件目の CVE-2025-54254 は、XML 外部エンティティ参照の制限不足によるもので、攻撃者に対して、任意のファイル読み取りを許すものです。ご利用のチームは、ご注意ください。よろしければ、Adobe で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.