La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) agregó el miércoles una falla de seguridad crítica que afecta a Adobe Experience Manager a su catálogo de vulnerabilidades explotadas conocidas (KEV), basándose en evidencia de explotación activa.
La vulnerabilidad en cuestión es CVE-2025-54253 (puntaje CVSS: 10.0), un error de configuración incorrecta de gravedad máxima que podría resultar en la ejecución de código arbitrario.
Según Adobe, la deficiencia afecta a Adobe Experience Manager (AEM) Forms en las versiones JEE 6.5.23.0 y anteriores. Se solucionó en la versión 6.5.0-0108 lanzada a principios de agosto de 2025, junto con CVE-2025-54254 (puntuación CVSS: 8,6).
La falla resulta del servlet /adminui/debug peligrosamente expuesto, que evalúa las expresiones OGNL proporcionadas por el usuario como código Java sin requerir autenticación o validación de entrada», señaló la compañía de seguridad FireCompass. «El mal uso del punto final permite a los atacantes ejecutar comandos arbitrarios del sistema con una única solicitud HTTP diseñada».
Actualmente no hay información disponible públicamente sobre cómo se está explotando la falla de seguridad en ataques del mundo real, aunque Adobe reconoció en su aviso que «CVE-2025-54253 y CVE-2025-54254 tienen una prueba de concepto disponible públicamente».
A la luz de la explotación activa, se recomienda a las agencias del Poder Ejecutivo Civil Federal (FCEB) que apliquen las correcciones necesarias antes del 5 de noviembre de 2025.
El desarrollo se produce un día después de que CISA también agregara una vulnerabilidad crítica de autenticación incorrecta en SKYSEA Client View (CVE-2016-7836, puntuación CVSS: 9.8) al catálogo KEV. Japan Vulnerability Notes (JVN), en un aviso publicado a finales de 2016, decía que «se han observado ataques que explotan esta vulnerabilidad en la naturaleza».
«SKYSEA Client View contiene una vulnerabilidad de autenticación inadecuada que permite la ejecución remota de código a través de una falla en el procesamiento de autenticación en la conexión TCP con el programa de la consola de administración», dijo la agencia.