はじめに
米サイバーセキュリティ・インフラセキュリティ庁(CISA)は、Adobe Experience Manager(AEM)の最大深刻度脆弱性(CVE-2025-54253)が現在、攻撃で積極的に悪用されていると警告しました。この脆弱性は、未パッチのシステム上でリモートからのコード実行を可能にするものです。
脆弱性の詳細
CVE-2025-54253は、Adobe Experience Manager (AEM) Forms on JEEのバージョン6.5.23以前に影響を与える設定ミスに起因する脆弱性です。この脆弱性が悪用されると、認証されていない攻撃者がセキュリティメカニズムを迂回し、リモートで任意のコードを実行できるようになります。攻撃は複雑性が低く、ユーザーの操作を必要としません。Searchlight Cyberの解説によると、この脆弱性はStruts DevModeを介した認証バイパスがリモートコード実行(RCE)につながるものです。
発見と公開の経緯
この脆弱性は、Searchlight CyberのAdam Kues氏とShubham Shah氏によって発見され、2025年4月28日にAdobeに報告されました。彼らは同時に他の2つの脆弱性(CVE-2025-54254およびCVE-2025-49533)も報告しましたが、Adobeは4月に後者のみをパッチし、CVE-2025-54253を含む他の2つは90日以上未修正のままでした。研究者らが7月29日に脆弱性の仕組みと悪用方法に関する詳細な解説を公開した後、Adobeは8月9日にようやくセキュリティアップデートをリリースし、その時点で概念実証(PoC)エクスプロイトコードが既に公開されていたことを確認しました。
CISAからの緊急警告と推奨事項
CISAは、この脆弱性を「既知の悪用されている脆弱性カタログ」に追加しました。これにより、連邦政府機関(FCEB)は、2021年11月に発行されたBinding Operational Directive(BOD)22-01の義務付けに従い、11月5日までにシステムを保護する必要があります。
CISAは、BOD 22-01が米連邦政府機関を対象としているものの、民間企業を含む全ての組織に対し、この積極的に悪用されている脆弱性に対するパッチ適用を最優先するよう強く推奨しています。CISAは次のように警告しています:
- ベンダーの指示に従い緩和策を適用すること。
- クラウドサービスには適用されるBOD 22-01ガイダンスに従うこと。
- 緩和策が利用できない場合は製品の使用を中止すること。
CISAは、「これらの種類の脆弱性は、悪意のあるサイバー攻撃者にとって頻繁な攻撃ベクトルであり、連邦政府機関に重大なリスクをもたらす」と付け加えています。また、Searchlight Cyberは、直ちにパッチ適用ができない場合、AEM Formsがスタンドアロンアプリケーションとして展開されている場合は、インターネットアクセスを制限するよう助言しています。