CISAがAdobe Experience Managerの脆弱性について警告

米サイバーセキュリティ・インフラセキュリティ庁（CISA）は、Adobe Experience Manager Formsの重大な脆弱性（CVE-2025-54253）を既知の悪用済み脆弱性（KEV）カタログに追加し、この脆弱性が現在活発に悪用されていると警告しました。

深刻な脆弱性：CVE-2025-54253の詳細

このセキュリティ上の問題は、CVE-2025-54253として追跡されており、JEE（Java Enterprise Edition）環境で動作するAdobe Experience Manager Formsに影響を与えます。攻撃者はこの脆弱性を悪用することで、脆弱なシステム上で任意のコードを実行することが可能になります。

• CVE ID: CVE-2025-54253
• 対象製品: Adobe Experience Manager Forms (JEE)
• 脆弱性の種類: 任意コード実行
• 影響: 不正アクセス、特権昇格、データ侵害、システム侵害、企業ネットワーク内での横方向の移動

Adobe Experience Managerは、コンテンツ管理やデジタルエクスペリエンス提供のために多くの企業で広く利用されており、この脆弱性はプラットフォームに依存する組織にとって特に懸念されるものです。脆弱性の詳細な技術情報は、広範な悪用を防ぐために開示されていませんが、セキュリティ研究者らはすでに活発な悪用が進行中であることを確認しています。

CISAの対応と連邦機関への指示

CISAは2025年10月15日にCVE-2025-54253をKEVカタログに追加し、連邦政府の行政機関に対し、直ちに対応を取るよう求めました。拘束力のある運用指令（BOD）22-01に基づき、これらの機関は2025年11月5日までにベンダー提供のセキュリティパッチを適用するか、脆弱な製品の使用を中止する必要があります。この3週間の是正期間は、脅威の深刻さと、重要なインフラを保護するために必要な緊急性を反映しています。

組織への推奨事項と対策

この指令は特に連邦機関を対象としていますが、CISAはAdobe Experience Manager Formsを使用するすべての組織に対し、この脆弱性へのパッチ適用を最優先するよう強く推奨しています。現時点では、この脆弱性がランサムウェア攻撃に利用されたかどうかは不明ですが、任意コード実行の機能は、企業ネットワークへの初期アクセスを狙うサイバー犯罪者にとって魅力的な標的となります。

JEE環境でAdobe Experience Manager Formsを運用している組織は、直ちにCVE-2025-54253への露出を確認する必要があります。Adobeはすでにこの脆弱性に対処するセキュリティアップデートをリリースしており、管理者は遅滞なくこれらのパッチを適用すべきです。直ちにパッチ適用が困難な環境では、アップデートが展開されるまで、代替の制御策を実装するか、影響を受けるサービスを一時的に無効にすることを検討してください。また、セキュリティチームはAEM Formsの展開状況を監視し、侵害の兆候がないか、不審なアクセスログがないかを確認し、悪用試行の可能性に備える必要があります。

元記事: https://gbhackers.com/cisa-alerts-on-adobe-experience-manager-flaw/