CISA a averti que les attaquants exploitent activement une vulnérabilité de gravité maximale dans Adobe Experience Manager pour exécuter du code sur des systèmes non corrigés.
Répertoriée sous le numéro CVE-2025-54253, cette faille de sécurité critique provient d’une faiblesse de configuration incorrecte qui affecte Adobe Experience Manager (AEM) Forms sur les versions 6.5.23 et antérieures de JEE.
Une exploitation réussie peut permettre aux acteurs de la menace non authentifiés de contourner les mécanismes de sécurité et d’exécuter du code arbitraire à distance dans des attaques de faible complexité qui ne nécessitent aucune interaction de l’utilisateur.
La faille a été découverte par Adam Kues et Shubham Shah de Searchlight Cyber, qui l’ont divulguée à Adobe le 28 avril, ainsi que deux autres problèmes (CVE-2025-54254 et CVE-2025-49533).
Cependant, Adobe n’a corrigé que ce dernier en avril, laissant les deux autres non corrigés pendant plus de 90 jours, jusqu’à ce que les deux chercheurs en sécurité publient un article le 29 juillet détaillant le fonctionnement des vulnérabilités et comment elles peuvent être exploitées.
Adobe a finalement publié des mises à jour de sécurité le 9 août pour corriger la vulnérabilité CVE-2025-54253, confirmant que le code d’exploitation de validation de principe était déjà accessible au public.
Comme Searchlight Cyber l’a expliqué, CVE-2025-54253 est un contournement d’authentification qui conduit à l’exécution de code à distance (RCE) via Struts DevMode. Les chercheurs ont également conseillé aux administrateurs de restreindre l’accès Internet à AEM Forms lorsqu’il est déployé en tant qu’application autonome s’ils ne peuvent pas corriger immédiatement le logiciel.
CISA a maintenant ajouté cette vulnérabilité à son Catalogue de vulnérabilités exploitées connues, donnant aux agences de l’Exécutif Civil Fédéral (FCEB) trois semaines pour sécuriser leurs systèmes d’ici le 5 novembre, conformément à la Directive Opérationnelle Contraignante (BOD) 22-01 publiée en novembre 2021.
Bien que la DBO 22-01 cible les agences fédérales américaines, la cybersecurity Agency a encouragé toutes les organisations, y compris celles du secteur privé, à donner la priorité à la correction de leurs systèmes contre cette faille activement exploitée dès que possible.
« Appliquez des mesures d’atténuation selon les instructions du fournisseur, suivez les directives applicables de la DBO 22-01 pour les services cloud, ou cessez d’utiliser le produit si les mesures d’atténuation ne sont pas disponibles », a averti CISA mercredi.
« Ces types de vulnérabilités sont des vecteurs d’attaque fréquents pour les cyberacteurs malveillants et présentent des risques importants pour l’entreprise fédérale », a-t-il ajouté.