Experience Manager: Adobe patcht 90 Tage nicht und bringt nun Notfallupdate

Angreifer können an zwei Sicherheitslücken in Adobe Experience Manager ansetzen, um Systeme zu attackieren. Die Schwachstellen sind seit April dieses Jahres bekannt, Sicherheitspatches gibt es aber erst jetzt.

Kein Vorbild

Wie Sicherheitsforscher von Searchlight Cyber in einem Bericht festhalten, haben sie Adobe im April 2025 über drei Sicherheitslücken (CVE-2025-49533 „kritisch„, CVE-2025-54254 „hoch„, CVE-2025-54253 „kritisch„) informiert. Die letztgenannte Schwachstelle ist mit dem höchstmöglichen CVSS Score 10 von 10 eingestuft. Sind Attacken erfolgreich, können Angreifer Systeme durch das Ausführen von Schadcode vollständig kompromittieren.

Den Forschern zufolge gestaltete sich die Kommunikation als äußerst zäh, und Adobe hat teilweise in Antworten Patches für ganz andere Lücken erwähnt. Am Patchday im Juli hat Adobe dann zumindest eine Lücke (CVE-202549533) geschlossen. Ebenso führen die Forscher in ihrem Bericht technische Details zu den Lücken aus.

Weiterer Verlauf

Nach weiteren gescheiterten Kommunikationsversuchen zum Verbleib der restlichen Sicherheitsupdates haben sich die Sicherheitsforscher gemäß dem 90-tägigen Responsible-Disclosure-Verfahren dazu entschieden, Details zu den beiden ungepatchten Lücken zu veröffentlichen. Sie haben unter anderem herausgefunden, dass der DevMode in der Apache-Struts-Komponente standardmäßig aktiv war. Das können Angreifer zur Schadcodeausführung aus der Ferne missbrauchen.

Nun hat Adobe das Notfallupdate Experience Manager Forms on JEE 6.5.0-0108 veröffentlicht, um die beiden verbleibenden Schwachstellen zu schließen. Auch wenn es Adobe zufolge noch keine Attacken gibt, sollten Admins ihre PCs zügig absichern. Schließlich ist dem Softwarehersteller zufolge Proof-of-Concept-Code in Umlauf, was zu baldigen Attacken führen kann.

(des)