Adobe ออกอัปเดตความปลอดภัยเร่งด่วนสำหรับ Adobe Experience Manager Forms บน Java Enterprise Edition (JEE) เพื่อแก้ไขช่องโหว่ Zero-Day ที่มีความรุนแรงระดับ Critical 2 รายการ ซึ่งอาจเปิดโอกาสให้ผู้โจมตีสามารถรันโค้ดอันตรายได้ตามต้องการ และเข้าถึง file system ได้โดยไม่ได้รับอนุญาต
ช่องโหว่ทั้งสองรายการมีหมายเลข CVE-2025-54253 และ CVE-2025-54254 โดย Adobe จัดให้เป็นระดับความรุนแรงสูงสุด และขณะนี้มี proof-of-concept ถูกเผยแพร่ออกมาแล้ว
ช่องโหว่ของ Adobe AEM Forms
ช่องโหว่ที่รุนแรงกว่าคือ CVE-2025-54253 ซึ่งเกิดจากการตั้งค่าที่ไม่ถูกต้อง ซึ่งถูกจัดอยู่ในหมวด CWE-16 และมีคะแนน CVSS สูงสุดที่ 10.0
ช่องโหว่นี้ทำให้ผู้โจมตีสามารถสั่งรันโค้ดได้ตามต้องการ โดยไม่ต้องผ่านการยืนยันตัวตน หรือมีการโต้ตอบจากผู้ใช้
ความรุนแรงของช่องโหว่นี้อยู่ที่การโจมตีสามารถทำได้ผ่านเครือข่าย และมีความซับซ้อนต่ำ จึงเป็นอันตรายอย่างมากต่อการติดตั้ง AEM Forms ที่เปิดให้เข้าถึงจากอินเทอร์เน็ต
ช่องโหว่ที่สอง CVE-2025-54254 เกี่ยวข้องกับ improper restriction ของ XML External Entity Reference (XXE) ซึ่งจัดอยู่ในหมวด CWE-611
ช่องโหว่นี้มีคะแนน CVSS อยู่ที่ 8.6 ซึ่งทำให้ผู้โจมตีสามารถอ่าน file system ได้ตามต้องการ ซึ่งอาจทำให้ข้อมูลสำคัญรั่วไหล เช่น configuration files, ข้อมูล credentials และข้อมูล confidential อื่น ๆ
ทั้งสองช่องโหว่ส่งผลกระทบต่อ Adobe Experience Manager (AEM) Forms บน JEE เวอร์ชัน 6.5.23.0 และก่อนหน้านั้น บนทุกแพลตฟอร์ม
นักวิจัยด้านความปลอดภัย Shubham Shah และ Adam Kues จากบริษัท Assetnote เป็นผู้ค้นพบ และรายงานช่องโหว่เหล่านี้ต่อ Adobe
แนวทางการลดความเสี่ยง
Adobe ยืนยันว่ามี proof-of-concept สำหรับทั้ง CVE-2025-54253 และ CVE-2025-54254 ถูกเผยแพร่ออกสู่สาธารณะแล้ว ซึ่งเพิ่มความเสี่ยงต่อการถูกโจมตีจริงอย่างมาก
อย่างไรก็ตามบริษัทระบุว่า ขณะนี้ยังไม่พบหลักฐานว่ามีการนำช่องโหว่เหล่านี้ไปใช้โจมตีจริงในสภาพแวดล้อมภายนอก
องค์กรที่ใช้งาน AEM Forms เวอร์ชันที่ได้รับผลกระทบ ต้องรีบอัปเดตเป็นเวอร์ชัน 6.5.0-0108 ทันที เพื่อแก้ไขช่องโหว่ด้านความปลอดภัยทั้งสองรายการ
Adobe จัดลำดับการอัปเดตนี้ไว้ในระดับ Priority 1 ซึ่งหมายถึงควรเร่งดำเนินการติดตั้งแพตช์ในทันที รายละเอียดวิธีการอัปเดตสามารถดูได้ผ่านแพลตฟอร์มเอกสารของ Adobe Experience League
การค้นพบช่องโหว่แบบ zero-day เหล่านี้ แสดงให้เห็นถึงความสำคัญอย่างยิ่งในการอัปเดตแพตช์ สำหรับระบบ enterprise content management systems
องค์กรต่าง ๆ ควรทำ network segmentation และควบคุมการเข้าถึงอย่างเหมาะสม พร้อมทั้งเร่งดำเนินการติดตั้งแพตช์เพื่อป้องกันไม่ให้ infrastructure ของ AEM Forms ถูกโจมตี
ที่มา : cybersecuritynews
You must be logged in to post a comment.