أطلقت شركة «أدوبي» تحديثات أمنية عاجلة خارج الجدول المعتاد لمعالجة ثغرتين بالغتي الخطورة في منتجها «Adobe Experience Manager Forms» المبني على Java Enterprise Edition، وذلك بعد توفر أكواد استغلال علنية (PoC) يمكن استخدامها للهجوم.
وتحمل الثغرتان رمزي CVE-2025-54253 وCVE-2025-54254، وقد حصلتا على تقييمات حرجة ضمن مقياس CVSS، حيث سجلت الأولى الدرجة الكاملة 10.0، والثانية 8.6.
وقالت «أدوبي» إنها لم ترصد حتى الآن أي استغلال نشط لهاتين الثغرتين في البيئات الحقيقية، لكنها حثت المستخدمين على تطبيق التحديثات الجديدة دون تأخير، نظراً لوجود أكواد استغلال منشورة علنا.
وأوضح باحثو شركة «Searchlight Cyber»، التي اكتشفت الثغرات، أن CVE-2025-54253 ناتجة عن ترك واجهة الإدارة في وضع التطوير «Struts Dev Mode» مع إمكانية تجاوز المصادقة، ما يسمح للمهاجم بتنفيذ تعبيرات بلغة OGNL داخل الطلبات. ويمكن تصعيد الهجوم بسهولة إلى تنفيذ أوامر عن بُعد (RCE) باستخدام تقنيات تجاوز البيئات الآمنة المعروفة.
أما الثغرة الثانية CVE-2025-54254 فتُصنف على أنها ثغرة «XXE»، وتعود إلى تحميل مستند XML دون التحقق من المصدر، مما يتيح للمهاجم قراءة ملفات النظام، حتى دون تسجيل الدخول.
وسبق لـ«Searchlight Cyber» أن قدمت هذه الثغرات إلى «أدوبي» في أبريل 2025، إلى جانب ثغرة أخرى حرجة (CVE-2025-49533) تم إصلاحها ضمن تحديثات يوليو الماضي. وبعد انقضاء مهلة 90 يوما من الإبلاغ، نشرت الشركة التفاصيل الفنية وأكواد الاستغلال يوم 29 يوليو.
وأشار الباحثون إلى أن هذه الثغرات ليست معقدة من الناحية التقنية، بل كان يُفترض اكتشافها منذ سنوات، نظرا لأن المنتج (المعروف سابقا باسم LiveCycle) مستخدم في المؤسسات منذ ما يقارب العقدين.
