CVSS 10.0, exploit público y explotación activa: CISA da tres semanas para corregir la vulnerabilidad en Adobe AEM
Con una sola solicitud HTTP, un atacante obtiene el control total de un servidor corporativo.
La agencia estadounidense CISA añadió al catálogo de vulnerabilidades explotadas conocidas una falla crítica en Adobe Experience Manager, indicando ataques confirmados en curso. Se trata de una puntuación de 10 en CVSS —un error de configuración CVE-2025-54253, que permite la ejecución de código arbitrario. La vulnerabilidad afecta a AEM Forms sobre JEE en la versión 6.5.23.0 y anteriores. Adobe la solucionó en la compilación 6.5.0-0108 a principios de agosto de 2025, cerrando al mismo tiempo CVE-2025-54254 con una puntuación de 8,6.
El problema fue descrito con detalle por Adam Kyuz y Shubham Shah de Searchlight Cyber — mostraron que la falla se compone en una cadena de elusión de autenticación y ejecución remota de comandos a través del modo devmode del marco Struts2. La causa clave es el servlet /adminui/debug dejado sin protección: acepta expresiones OGNL introducidas por el usuario y las interpreta como código Java, sin requerir inicio de sesión ni validar la entrada. Según FireCompass, un punto de entrada así permite realizar un ataque con una única petición HTTP especialmente diseñada.
No se divulga públicamente cómo exactamente los atacantes aplican la técnica en incidentes reales. Al mismo tiempo, Adobe en el aviso confirmó la existencia de un prototipo de exploit de acceso público para ambas vulnerabilidades, lo que reduce considerablemente la barrera para los atacantes. Teniendo en cuenta la explotación activa, a las agencias civiles federales de EE. UU. se les ordenó actualizarse antes del 5 de noviembre de 2025 —el plazo fue incluido en las medidas obligatorias de CISA.
El contexto se refuerza con la reciente inclusión en el catálogo KEV de otra vulnerabilidad crítica — CVE-2016-7836 en el producto SKYSEA Client View. Ya en 2016 la base japonesa JVN informó de ataques que explotaban ese fallo. El defecto está relacionado con una autenticación incorrecta en el manejo de una conexión TCP con el programa de consola de gestión y permite la ejecución remota de código.
La inclusión de esta brecha en el catálogo junto con la vulnerabilidad crítica en AEM subraya la línea principal de CISA: la prioridad de eliminar puntos de acceso sin autenticación que conducen a la ejecución remota de código (RCE), independientemente de la antigüedad de la publicación.
Para los propietarios de AEM la recomendación es clara: verificar la versión real de AEM Forms sobre JEE, instalar la actualización 6.5.0-0108 o una posterior, desactivar y cerrar el acceso a /adminui/debug, así como realizar una revisión de las configuraciones relacionadas con el modo de desarrollo de Struts2 y el procesamiento de OGNL. Merece atención especial el inventario de nodos accesibles desde el exterior y la correcta delimitación de permisos en las interfaces administrativas.
Las huellas digitales son tu debilidad, y los hackers lo saben