Adobe Experience Manager (AEM) Forms on Java EE è una piattaforma enterprise per la creazione e la gestione di processi sicuri basati su moduli. CVE-2025-54254 è una vulnerabilità critica che consente ad attaccanti non autenticati di leggere file dal server compromesso. Colpisce AEM Forms on JEE nelle versioni 6.5.23.0 e precedenti. La vulnerabilità è stata inserita nel database CISA ed è disponibile un proof-of-concept pubblico.

Riassunto tecnico

La vulnerabilità è causata da una restrizione impropria dell’elaborazione delle entità esterne XML (XXE) in un componente web service basato su SOAP di AEM Forms on JEE. Un attaccante può inviare un payload XML appositamente costruito contenente un riferimento a un’entità esterna all’endpoint vulnerabile /edcws/services/urn:EDCLicenseService (e potenzialmente ad altri endpoint SOAP). Poiché il parser XML elabora queste entità esterne, l’attaccante può recuperare file arbitrari dal file system del server o file di configurazione contenenti dati sensibili.
Questa falla è sfruttabile via rete senza autenticazione né interazione dell’utente.

Raccomandazioni

1. Applicare la patch immediatamente: aggiornare alla versione 6.5.0-0108 di AEM Forms on JEE come indicato nell’advisory APSB25-82 di Adobe.
2. Limitare l’accesso: limitare l’esposizione degli endpoint di servizio SOAP solo a reti fidate o connessioni VPN fino al completamento della patch.
3. Monitorare i log: controllare i log del server alla ricerca di richieste POST XML sospette verso /edcws/services/urn:EDCLicenseService o servizi SOAP simili.
4. Backup prima dei cambiamenti: creare backup del repository CRX, dell’archivio dei moduli e delle configurazioni correlate prima di applicare l’aggiornamento.