CRITICAL🇬🇧 English

CVE-2025-49533

RCE przez deserializację niezaufanych danych w Adobe Experience Manager

CVSS 9.8v3.1pub. 2025-07-08upd. 2025-07-18

Adobe Experience Manager (AEM) w wersji 6.5.23.0 i wcześniejszych jest podatny na niebezpieczną deserializację niezaufanych danych (CWE-502), która może prowadzić do zdalnego wykonania dowolnego kodu. Podatność jest krytyczna — atakujący nie wymaga żadnej interakcji ze strony użytkownika ani uwierzytelnienia.

Pokaż oryginał (EN)

Adobe Experience Manager (MS) versions 6.5.23.0 and earlier are affected by a Deserialization of Untrusted Data vulnerability that could lead to arbitrary code execution by an attacker. Exploitation of this issue does not require user interaction. Scope is unchanged.

🤖 Analiza AI
Jak działa

Podatność wynika z nieprawidłowej obsługi deserializacji danych wejściowych dostarczanych przez atakującego. Atakujący może przesłać specjalnie spreparowany, złośliwy obiekt serializowany do podatnego endpointu AEM. W trakcie procesu deserializacji aplikacja przetwarza ten obiekt bez odpowiedniej walidacji, co skutkuje wykonaniem niekontrolowanego kodu po stronie serwera. Atak jest możliwy zdalnie przez sieć, bez konieczności posiadania uprawnień ani angażowania użytkownika.

Skutki

Skuteczne wykorzystanie podatności pozwala atakującemu na wykonanie dowolnego kodu na serwerze (RCE), co może prowadzić do pełnego przejęcia systemu, kradzieży danych, naruszenia integralności oraz dostępności usługi.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami — szczegóły w biuletynie bezpieczeństwa Adobe APSB25-67 dostępnym pod adresem https://helpx.adobe.com/security/products/aem-forms/apsb25-67.html

Kogo dotyczy

Adobe Experience Manager (AEM) w wersji 6.5.23.0 oraz wszystkich wcześniejszych wersjach z gałęzi 6.5.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Adobe Experience Manager

    APP
    Adobe
    ≤ 6.5.23.0
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
RCEDeserialization
CWE
Referencje

Powiązane podatności

CVE-2026-34691CRITICAL9.3PL ✓ten sam produkt

Stored XSS w Adobe Experience Manager Forms JEE – krytyczna podatność

CVE-2025-64538CRITICAL9.3PL ✓ten sam produkt

DOM-based XSS w Adobe Experience Manager — możliwe RCE i przejęcie sesji

CVE-2025-64537CRITICAL9.3PL ✓ten sam produkt

DOM-based XSS w Adobe Experience Manager umożliwiający RCE

CVE-2025-64539CRITICAL9.3PL ✓ten sam produkt

DOM-based XSS w Adobe Experience Manager umożliwiający RCE

CVE-2021-40722CRITICAL9.8ten sam produkt

AEM Forms Cloud Service offering, as well as version 6.5.10.0 (and below) are affected by an XML External Enti...