概要
米サイバーセキュリティ・インフラセキュリティ庁(CISA)は、最大深刻度のAdobe Experience Manager(AEM)の脆弱性(CVE-2025-54253)が現在、攻撃で積極的に悪用されていると警告しました。この脆弱性は、未パッチのシステム上でコード実行を可能にするものです。
脆弱性の詳細
このクリティカルなセキュリティ上の欠陥は、Adobe Experience Manager (AEM) Forms on JEEのバージョン6.5.23以前に影響を及ぼす設定ミスに起因します。成功した場合、認証されていない攻撃者がセキュリティメカニズムをバイパスし、ユーザーの操作を必要としない低複雑度の攻撃で、リモートで任意のコードを実行できる可能性があります。
- 追跡ID: CVE-2025-54253
- 影響を受ける製品: Adobe Experience Manager (AEM) Forms on JEE バージョン6.5.23およびそれ以前
- 深刻度: 最大深刻度、クリティカル
- 脆弱性の種類: 設定ミスによる認証バイパス、Struts DevModeを介したリモートコード実行(RCE)
発見とAdobeの対応
この脆弱性は、Searchlight CyberのAdam Kues氏とShubham Shah氏によって発見され、2025年4月28日にAdobeに報告されました。当初、Adobeは報告された3つの問題のうち1つのみを4月にパッチ適用し、残りの2つは90日以上未修正のままでした。研究者らが7月29日に脆弱性の仕組みと悪用方法に関する詳細を公開した後、Adobeは8月9日にCVE-2025-54253に対処するセキュリティアップデートをリリースしました。この際、概念実証(PoC)エクスプロイトコードがすでに公開されていることも確認されました。
CISAの勧告と対策
CISAは、この脆弱性を「既知の悪用されている脆弱性カタログ」に追加しました。これにより、連邦政府機関(FCEB)は、2021年11月に発行された拘束力のある運用指令(BOD)22-01に基づき、11月5日までにシステムを保護するための3週間の猶予が与えられています。
CISAは、BOD 22-01が米国の連邦政府機関を対象としているものの、民間企業を含むすべての組織に対し、この積極的に悪用されている脆弱性に対してできるだけ早くシステムにパッチを適用することを優先するよう強く推奨しています。また、直ちにソフトウェアにパッチを適用できない場合は、AEM Formsへのインターネットアクセスを制限するようアドバイスしています。
CISAは、「これらの種類の脆弱性は、悪意あるサイバー攻撃者にとって頻繁な攻撃ベクトルであり、連邦政府機関に重大なリスクをもたらす」と警告しています。