{"id":13943,"date":"2025-08-06T09:05:00","date_gmt":"2025-08-06T09:05:00","guid":{"rendered":"https:\/\/byte-bucket.com\/2025\/08\/06\/kritische-sicherheitsluecken-im-adobe-experience-manager-gefaehrden-wichtige-dateninfrastrukturen\/"},"modified":"2025-08-06T09:05:00","modified_gmt":"2025-08-06T09:05:00","slug":"kritische-sicherheitsluecken-im-adobe-experience-manager-gefaehrden-wichtige-dateninfrastrukturen","status":"publish","type":"post","link":"https:\/\/byte-bucket.com\/?p=13943","title":{"rendered":"Kritische Sicherheitsl\u00fccken im Adobe Experience Manager gef\u00e4hrden wichtige Dateninfrastrukturen"},"content":{"rendered":"<p>In der Welt der digitalen Sicherheit hat sich ein brisantes Thema entwickelt: Zwei Sicherheitsl\u00fccken im Adobe Experience Manager (AEM) bieten Angreifern lukrative M\u00f6glichkeiten, Systeme zu infiltrieren und zu kontrollieren. Die Schwachstellen, die erstmals im April dieses Jahres von den Sicherheitsforschern von Searchlight Cyber aufgedeckt wurden, waren jedoch bis Juli unbekannt f\u00fcr die breite \u00d6ffentlichkeit. <\/p>\n<p>Die Forscher hatten Adobe damals \u00fcber drei Sicherheitsbedrohungen informiert (CVE-2025-49533, CVE-2025-54254 und CVE-2025-54253), wobei die letztgenannte mit dem maximalen CVSS-Score von 10 eingestuft wurde, was die extreme Schwere dieses Fehlers unterstreicht. Ein erfolgreicher Angriff durch Ausnutzung dieser L\u00fccken h\u00e4tte es Angreifern erm\u00f6glicht, Systeme vollst\u00e4ndig zu \u00fcbernehmen und Schadcode auszuf\u00fchren, wodurch eine komplette Funktionsunf\u00e4higkeit und Kontrolle \u00fcber wichtige Dateninfrastrukturen m\u00f6glich geworden w\u00e4re. Die Kommunikation mit Adobe gestaltete sich f\u00fcr die Forscher jedoch \u00e4u\u00dferst kompliziert und verz\u00f6gert. <\/p>\n<p>W\u00e4hrend Adobe in einigen Antworten Patches f\u00fcr andere Sicherheitsl\u00fccken erw\u00e4hnte, blieb die Behebung der drei urspr\u00fcnglich im April gemeldeten Schwachstellen bis Juli aus. Erst am Patchday im Juli gelang es den Forschern, zumindest eine L\u00fccke (CVE-2025-49533) durch ein von Adobe ver\u00f6ffentlichtes Update zu schlie\u00dfen. Die verbleibenden beiden Schwachstellen blieben jedoch weiterhin ungesichert. Trotz weiterer Versuche, mit Adobe in Kontakt zu treten, um eine L\u00f6sung f\u00fcr diese offenen Sicherheitsbedrohungen zu erreichen, blieb die Reaktion aus. Schlie\u00dflich entschieden sich die Forscher im Rahmen des 90-t\u00e4gigen Responsible Disclosure-Prozesses dazu, technische Details zu den beiden ungepatchten L\u00fccken \u00f6ffentlich zug\u00e4nglich zu machen. <\/p>\n<p>Dabei enth\u00fcllten sie ein besonders kritisches Detail: Der DevMode in der Apache-Struts-Komponente war standardm\u00e4\u00dfig aktiv. Angreifer k\u00f6nnten dieses Feature missbrauchen, um Schadcode auszuf\u00fchren und Systeme fernzubeherrschen. Angesichts dieser Entwicklungen ver\u00f6ffentlichte Adobe schlie\u00dflich ein Notfall-Update f\u00fcr Experience Manager Forms on JEE 6.5.0-0108, um die beiden zuvor aufgedeckten Schwachstellen zu schlie\u00dfen. <\/p>\n<p>Es wird betont, dass bereits Proof-of-Concept-Code im Umlauf ist, was eine erh\u00f6hte Gefahr f\u00fcr baldige Angriffe signalisiert. Die Situation unterstreicht die Bedeutung kontinuierlicher Sicherheits\u00fcberwachung, prompter Reaktion auf Sicherheitsbedrohungen und enger Kooperationen zwischen Softwareanbietern und Forschern, um das digitale Gef\u00fcge vor Bedrohungen zu sch\u00fctzen.<\/p>\n<p>Schlagw\u00f6rter: Adobe + AEM + Searchlight<\/p>\n","protected":false},"excerpt":{"rendered":"<p>In der Welt der digitalen Sicherheit hat sich ein brisantes Thema entwickelt: Zwei Sicherheitsl\u00fccken im Adobe Experience Manager (AEM) bieten Angreifern lukrative M\u00f6glichkeiten, Systeme zu infiltrieren und zu kontrollieren. Die Schwachstellen, die erstmals im April dieses Jahres von den Sicherheitsforschern von Searchlight Cyber aufgedeckt wurden, waren jedoch bis Juli unbekannt&#46;&#46;&#46;<\/p>\n","protected":false},"author":6,"featured_media":13942,"comment_status":"","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[],"class_list":["post-13943","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-uncategorized"],"_links":{"self":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts\/13943","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/users\/6"}],"replies":[{"embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=13943"}],"version-history":[{"count":0,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts\/13943\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/media\/13942"}],"wp:attachment":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=13943"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=13943"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=13943"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}