Kritische Sicherheitslücken im Adobe Experience Manager gefährden wichtige Dateninfrastrukturen
In der Welt der digitalen Sicherheit hat sich ein brisantes Thema entwickelt: Zwei Sicherheitslücken im Adobe Experience Manager (AEM) bieten Angreifern lukrative Möglichkeiten, Systeme zu infiltrieren und zu kontrollieren. Die Schwachstellen, die erstmals im April dieses Jahres von den Sicherheitsforschern von Searchlight Cyber aufgedeckt wurden, waren jedoch bis Juli unbekannt für die breite Öffentlichkeit.
Die Forscher hatten Adobe damals über drei Sicherheitsbedrohungen informiert (CVE-2025-49533, CVE-2025-54254 und CVE-2025-54253), wobei die letztgenannte mit dem maximalen CVSS-Score von 10 eingestuft wurde, was die extreme Schwere dieses Fehlers unterstreicht. Ein erfolgreicher Angriff durch Ausnutzung dieser Lücken hätte es Angreifern ermöglicht, Systeme vollständig zu übernehmen und Schadcode auszuführen, wodurch eine komplette Funktionsunfähigkeit und Kontrolle über wichtige Dateninfrastrukturen möglich geworden wäre. Die Kommunikation mit Adobe gestaltete sich für die Forscher jedoch äußerst kompliziert und verzögert.
Während Adobe in einigen Antworten Patches für andere Sicherheitslücken erwähnte, blieb die Behebung der drei ursprünglich im April gemeldeten Schwachstellen bis Juli aus. Erst am Patchday im Juli gelang es den Forschern, zumindest eine Lücke (CVE-2025-49533) durch ein von Adobe veröffentlichtes Update zu schließen. Die verbleibenden beiden Schwachstellen blieben jedoch weiterhin ungesichert. Trotz weiterer Versuche, mit Adobe in Kontakt zu treten, um eine Lösung für diese offenen Sicherheitsbedrohungen zu erreichen, blieb die Reaktion aus. Schließlich entschieden sich die Forscher im Rahmen des 90-tägigen Responsible Disclosure-Prozesses dazu, technische Details zu den beiden ungepatchten Lücken öffentlich zugänglich zu machen.
Dabei enthüllten sie ein besonders kritisches Detail: Der DevMode in der Apache-Struts-Komponente war standardmäßig aktiv. Angreifer könnten dieses Feature missbrauchen, um Schadcode auszuführen und Systeme fernzubeherrschen. Angesichts dieser Entwicklungen veröffentlichte Adobe schließlich ein Notfall-Update für Experience Manager Forms on JEE 6.5.0-0108, um die beiden zuvor aufgedeckten Schwachstellen zu schließen.
Es wird betont, dass bereits Proof-of-Concept-Code im Umlauf ist, was eine erhöhte Gefahr für baldige Angriffe signalisiert. Die Situation unterstreicht die Bedeutung kontinuierlicher Sicherheitsüberwachung, prompter Reaktion auf Sicherheitsbedrohungen und enger Kooperationen zwischen Softwareanbietern und Forschern, um das digitale Gefüge vor Bedrohungen zu schützen.
Schlagwörter: Adobe + AEM + Searchlight
Wie bewerten Sie den Schreibstil des Artikels?