Date : 6 août 2025
Les vulnérabilités en détail
CVE‑2025‑54253 – Exécution de code à distance (RCE)
- Gravité : Critique (CVSS 10.0)
- Impact : Permet à un attaquant non authentifié d’exécuter du code arbitraire sur le serveur.
- Conséquences possibles : Prise de contrôle totale, déploiement de malwares, vol de données, sabotage.
- Vecteur : Soumission d’un formulaire spécialement conçu exploitant une faille dans le traitement d’entrées utilisateur.
CVE‑2025‑54254 – Injection XML externe (XXE)
- Gravité : Élevée (CVSS 8.6)
- Impact : Lecture arbitraire de fichiers sur le serveur.
- Conséquences possibles : Exfiltration de données sensibles (clés privées, mots de passe, configurations).
- Vecteur : Exploitation de formulaires XML malveillants via mauvaise gestion des entités externes.
Pourquoi la situation est critique
- PoC publics déjà disponibles, facilitant les attaques à grande échelle.
- Surface d’attaque étendue : AEM Forms est fréquemment déployé sur des serveurs accessibles depuis Internet.
- Chaîne d’attaque combinée : L’exploitation successive de la XXE puis de la RCE maximise les dégâts.
Correctifs et recommandations
- Appliquer immédiatement le correctif hors cycle fourni par Adobe.
- Restreindre l’accès aux instances AEM exposées si la mise à jour est différée.
- Analyser les journaux à la recherche d’activités suspectes postérieures à la diffusion des PoC.
- Désactiver la résolution d’entités externes XML même après l’application du patch.
