A Adobe acaba de liberar atualizações de segurança emergenciais para o seu sistema Adobe Experience Manager (AEM), corrigindo duas vulnerabilidades críticas que afetavam o software e expunham servidores a riscos significativos. Essas falhas, identificadas como CVE-2025-54253 e CVE-2025-54254, possuem um alto potencial de exploração, com uma delas sendo classificada com a pontuação máxima de CVSS 10.0. O que torna essa situação ainda mais alarmante é o fato de que a prova de conceito (PoC) foi publicada, o que eleva consideravelmente a ameaça de ataques.
Neste artigo, vamos explicar o que aconteceu, o que as falhas envolvem, os riscos associados e o que administradores de sistemas precisam fazer imediatamente para proteger seus ambientes. A vulnerabilidade Adobe AEM pode ter sérias consequências para empresas que utilizam a plataforma para criar e gerenciar conteúdo digital.
O que aconteceu? A cronologia da falha
A descoberta e a divulgação responsável
Em abril de 2025, os pesquisadores Shubham Shah e Adam Kues, da Searchlight Cyber, identificaram duas falhas críticas no AEM. As vulnerabilidades foram reportadas para a Adobe de forma responsável, seguindo o protocolo de divulgação com um período de 90 dias para correção antes de qualquer divulgação pública. Este é um padrão comum adotado por pesquisadores de segurança, permitindo que as empresas tenham tempo suficiente para desenvolver correções e implementar patches de segurança.
A pressão aumenta: a publicação da Prova de Conceito (PoC)
Após o prazo de 90 dias sem uma solução definitiva da Adobe, os pesquisadores publicaram uma prova de conceito (PoC) em que detalham como explorar as falhas. Uma PoC é uma demonstração prática de como uma vulnerabilidade pode ser explorada. Ao ser publicada, ela aumenta drasticamente o risco de ataques, já que fornece um “mapa” para que hackers mal-intencionados possam replicar a exploração. Isso elevou a urgência da correção, uma vez que qualquer atacante agora tem acesso a uma metodologia clara para comprometer o AEM.
Detalhes técnicos das vulnerabilidades críticas
Entendendo os riscos: as duas falhas zero-day
CVE-2025-54254: A falha de leitura de arquivos com gravidade máxima (CVSS 10.0)
A CVE-2025-54254 é uma vulnerabilidade do tipo XXE (XML External Entity), um tipo de falha em que um atacante pode manipular arquivos XML para acessar arquivos internos de um sistema sem qualquer autenticação. Esta falha permite que um invasor, sem precisar de qualquer credencial, tenha acesso aos arquivos do sistema, o que pode incluir informações sensíveis e confidenciais armazenadas no servidor. O risco é amplificado pela pontuação CVSS 10.0, indicando que se trata de uma das falhas mais críticas possíveis, com potencial para comprometer totalmente a segurança do servidor afetado.
CVE-2025-54253: A porta aberta para execução remota de código (RCE)
A segunda falha, CVE-2025-54253, permite a execução remota de código (RCE). Esse tipo de vulnerabilidade é particularmente grave, pois dá ao atacante a capacidade de executar comandos arbitrários no servidor vulnerável, basicamente tomando o controle do sistema. A falha foi causada por uma configuração de Struts2 que foi deixada ativa por engano durante o desenvolvimento, o que permitiu que um invasor enviasse comandos e os executasse diretamente no servidor, comprometendo a integridade e segurança do sistema. A CVE-2025-54253 possui uma pontuação de CVSS 8.6, o que ainda a classifica como uma falha grave, mas não tão crítica quanto a CVE-2025-54254.
Qual o impacto e o que fazer agora?
Ação imediata: como proteger seus sistemas
As falhas CVE-2025-54253 e CVE-2025-54254 combinadas representam um risco grave para qualquer sistema que utilize o Adobe Experience Manager. Com a possibilidade de execução remota de código e a capacidade de ler arquivos sensíveis do servidor, um invasor pode causar danos significativos, comprometendo tanto dados corporativos quanto a infraestrutura do sistema.
A recomendação da Adobe e dos pesquisadores de segurança é clara: aplicar as atualizações de segurança e os hotfixes imediatamente. Para administradores que utilizam o AEM Forms no JEE, é essencial instalar os patches fornecidos pela Adobe para corrigir essas falhas. Caso a atualização não possa ser realizada imediatamente, a alternativa é restrição de acesso à plataforma pela internet, de modo a minimizar a exposição até que a correção possa ser aplicada.
Conclusão
A falha Adobe AEM é um alerta importante para todos os administradores e profissionais de segurança. A rapidez na aplicação das correções pode ser a diferença entre proteger ou expor seus sistemas a ataques devastadores. Não adiar a implementação de patches e atualizações é crucial para evitar danos maiores.
