A Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) emitiu um alerta urgente nesta quarta-feira, incluindo uma falha crítica no Adobe Experience Manager (AEM) em seu Catálogo de Vulnerabilidades Exploradas Conhecidas (KEV). A inclusão indica que a vulnerabilidade já está sendo explorada ativamente em ataques reais.
Identificada como CVE-2025-54253, a falha recebeu a pontuação máxima CVSS 10,0, sendo classificada como de gravidade extrema. Trata-se de um bug de configuração incorreta que permite a execução de código arbitrário sem autenticação.
A Adobe informou que o problema afeta o AEM Forms nas versões 6.5.23.0 e anteriores do JEE, e que a correção foi disponibilizada em agosto de 2025 com o lançamento da versão 6.5.0-0108, que também abordou a vulnerabilidade CVE-2025-54254 (CVSS 8,6).
O risco decorre da exposição do servlet /adminui/debug, que processa expressões OGNL (Object-Graph Navigation Language) fornecidas pelo usuário como código Java, sem autenticação ou validação de entrada. Segundo a empresa de segurança FireCompass, isso permite que invasores executem comandos do sistema com uma única solicitação HTTP.
Embora os detalhes sobre ataques em campo ainda não tenham sido divulgados, a Adobe confirmou que uma prova de conceito (PoC) da CVE-2025-54253 já está disponível publicamente, aumentando a urgência da mitigação.
Diante da exploração ativa, a CISA recomendou que todas as agências do Poder Executivo Civil Federal dos EUA (FCEB) apliquem as correções até 5 de novembro de 2025.
O alerta da CISA segue a inclusão, um dia antes, de outra vulnerabilidade crítica no catálogo KEV: uma falha de autenticação indevida no SKYSEA Client View (CVE-2016-7836, CVSS 9,8), que já vinha sendo explorada desde 2016.
Especialistas reforçam que falhas como essas podem permitir execução remota de código, colocando em risco dados e sistemas corporativos, e destacam a importância de aplicar atualizações de segurança imediatamente.
