Sin inicio de sesión ni contraseña: tres líneas de código en Adobe Forms abrieron a los hackers el acceso a sistemas gubernamentales y bancarios

Adobe publicó una actualización de seguridad fuera de calendario para la plataforma Adobe Experience Manager (AEM) Forms en Java EE, luego de que investigadores revelaran una cadena de explotación que permite ejecutar código arbitrario de forma remota en instancias vulnerables sin necesidad de autenticación.

Las vulnerabilidades fueron identificadas como CVE-2025-54253 y CVE-2025-54254, ambas calificadas como críticas y afectan a todos los que utilizan AEM Forms en entornos de producción.

La primera — CVE-2025-54253 (CVSS: 8.6) — está relacionada con una configuración incorrecta que deja activado el modo de desarrollo de Struts2. Este descuido permite a atacantes aprovechar el mecanismo de expresiones OGNL para inyectar comandos mediante parámetros de depuración en las solicitudes HTTP. En la práctica, la vulnerabilidad otorga acceso al panel administrativo sin requerir autenticación.

La segunda falla — CVE-2025-54254 (CVSS: 10.0) — afecta al componente de autenticación SOAP, el cual carece de protección contra la inyección de entidades externas en XML (XXE). Esta omisión permite a los atacantes enviar documentos XML especialmente diseñados para forzar al sistema a revelar el contenido de archivos locales, como configuraciones de Windows o parámetros críticos del sistema.

Un tercer problema — CVE-2025-49533 (CVSS: 9.8) — ya había sido resuelto el 5 de agosto, y también permite la ejecución remota de código. Esta vulnerabilidad reside en el módulo FormServer, donde los datos del usuario se deserializan sin verificación previa. La falta de validación permite a un atacante enviar una carga maliciosa que será ejecutada automáticamente por el servidor, facilitando la toma total del sistema.

Las tres vulnerabilidades fueron descubiertas por especialistas de la empresa Searchlight Cyber. Reportaron los hallazgos a Adobe el 28 de abril, pero solo una fue corregida a tiempo. Después de tres meses sin respuesta, el equipo de investigadores advirtió a Adobe sobre su intención de publicar una descripción técnica completa, la cual finalmente se difundió el 29 de julio.

A pesar de la publicación, Adobe solo liberó los parches para las dos vulnerabilidades restantes varios días después. Como medida preventiva, los expertos recomiendan instalar de inmediato todas las actualizaciones y parches disponibles. En caso de que esto no sea posible, se aconseja aislar AEM Forms de redes externas para minimizar el impacto potencial.

Lo más preocupante es que las tres fallas permiten ejecutar código de forma remota sin necesidad de autenticación. Esto las convierte en un punto de entrada ideal para ataques dirigidos contra la infraestructura de organizaciones que utilicen Adobe Experience Manager. El riesgo es aún mayor debido a que AEM Forms se emplea con frecuencia en entornos gubernamentales, corporativos y financieros, donde una intrusión puede derivar en filtración de datos sensibles y la pérdida total del control sobre activos digitales.