Die US-Behörde CISA (Cybersecurity and Infrastructure Security Agency) hat ihrem Verzeichnis bekannter, aktiver Exploits (Known Exploited Vulnerabilities Catalog) eine bereits seit Längerem bekannte Sicherheitslücke in Adobes Content-Management-Plattform Experience Manager (AEM) hinzugefügt.
Das CISA-Team habe beobachtet, dass die betreffende Lücke CVE-2025-54253 mit dem CVSS-Höchstwert 10.0 (kritisch) Ziel von Angriffen sei, heißt es in einem Sicherheitshinweis der Behörde.
Nähere Details etwa hinsichtlich spezifischer Angreifergruppen, Zielen oder Umfang der Attacken sind dem Hinweis nicht zu entnehmen. Bekannt ist aber, dass Angreifer Systeme durch das Ausführen beliebigen Schadcodes vollständig kompromittieren könnten (arbitrary code execution, arbitrary file system read).
Adobe hat die Sicherheitslücke bereits Anfang August dieses Jahres im Zuge des Notfallupdates Experience Manager Forms on JEE 6.5.0-0108 geschlossen. Verwundbar sind beziehungsweise waren Versionen bis einschließlich 6.5.23.0.
Admins, die das Update damals eingespielt haben, müssen nicht aktiv werden, da die betreffenden AEM-Installationen gegen die Exploits abgesichert sind. Alle anderen können dem zugehörigen Adobe Security Bulletin APSB25-82 nähere Details samt Update-Anleitung entnehmen.
Dem Notfallupdate von August war eine zähe Kommunikation zwischen Schwachstellen-Entdeckern und Adobe vorausgegangen, bis die bereits seit April bekannte Lücke letztlich gepatcht wurde. Zu diesem Zeitpunkt war laut dem Softwarehersteller bereits Exploit-Code in Umlauf. Ebenfalls bedenklich: Das Security Bulletin wurde bislang noch nicht bezüglich der aktiven Exploits aktualisiert.
(
Sie haben heise+ bereits abonniert? Hier anmelden.
Oder benötigen Sie mehr Informationen zum heise+ Abo