La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) agregó el miércoles una falta de seguridad crítica que afecta a Adobe Experience Manager a su catálogo de vulnerabilidades explotadas conocidas (KEV), basándose en evidencia de explotación activa.
La vulnerabilidad en cuestión es CVE-2025-54253 (puntaje CVSS: 10.0), un error de configuración incorrecta de recaída máxima que podría resultar en la ejecución de código injusto.
Según Adobe, la deficiencia afecta a Adobe Experience Manager (AEM) Forms en las versiones JEE 6.5.23.0 y anteriores. Se solucionó en la lectura 6.5.0-0108 puyazo a principios de agosto de 2025, adjunto con CVE-2025-54254 (puntuación CVSS: 8,6).
La falta resulta del servlet /adminui/debug peligrosamente expuesto, que evalúa las expresiones OGNL proporcionadas por el legatario como código Java sin requerir autenticación o subsistencia de entrada», señaló la compañía de seguridad FireCompass. «El mal uso del punto final permite a los atacantes ejecutar comandos arbitrarios del sistema con una única solicitud HTTP diseñada».
Actualmente no hay información adecuado públicamente sobre cómo se está explotando la falta de seguridad en ataques del mundo actual, aunque Adobe reconoció en su aviso que «CVE-2025-54253 y CVE-2025-54254 tienen una prueba de concepto adecuado públicamente».
A la luz de la explotación activa, se recomienda a las agencias del Poder Ejecutor Civil Federal (FCEB) que apliquen las correcciones necesarias ayer del 5 de noviembre de 2025.
El mejora se produce un día a posteriori de que CISA además agregara una vulnerabilidad crítica de autenticación incorrecta en SKYSEA Client View (CVE-2016-7836, puntuación CVSS: 9.8) al catálogo KEV. Japan Vulnerability Notes (JVN), en un aviso publicado a finales de 2016, decía que «se han observado ataques que explotan esta vulnerabilidad en la naturaleza».
«SKYSEA Client View contiene una vulnerabilidad de autenticación inadecuada que permite la ejecución remota de código a través de una falta en el procesamiento de autenticación en la conexión TCP con el software de la consola de empresa», dijo la agencia.
