Adobe đã phát hành các bản cập nhật bảo mật quan trọng cho Adobe Experience Manager (AEM) Forms trên Java Enterprise Edition. Các cập nhật này được triển khai sau khi phát hiện hai lỗ hổng CVE nghiêm trọng, có khả năng cho phép kẻ tấn công thực thi mã tùy ý (remote code execution) và đọc các tệp nhạy cảm từ các hệ thống bị ảnh hưởng.

Tổng Quan Lỗ Hổng và Cảnh Báo CVE

Các nhà nghiên cứu bảo mật Shubham Shah và Adam Kues từ Assetnote đã xác định hai lỗ hổng CVE nghiêm trọng trong nền tảng quản lý nội dung doanh nghiệp của Adobe.

• CVE-2025-54253: Đạt điểm tối đa 10.0 trên Hệ thống Đánh giá Mức độ Nghiêm trọng Chung (CVSS). Đây là một lỗi cấu hình sai (misconfiguration flaw) cho phép thực thi mã tùy ý.
• CVE-2025-54254: Có điểm CVSS 8.6. Lỗ hổng này khai thác các hạn chế tham chiếu Thực thể Bên ngoài XML (XXE) không phù hợp, cho phép truy cập trái phép vào hệ thống tệp.

Chi Tiết Kỹ Thuật Lỗ Hổng CVE-2025-54253

CVE-2025-54253 là lỗ hổng CVE liên quan đến cấu hình sai, gây ra mối đe dọa nghiêm trọng nhất. Lỗ hổng này cho phép kẻ tấn công từ xa thực thi mã tùy ý mà không yêu cầu xác thực hay tương tác từ người dùng.

Vector CVSS của CVE-2025-54253 là CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H. Phân tích vector này chỉ ra:

• AV:N (Attack Vector: Network): Tấn công có thể được thực hiện qua mạng mà không cần truy cập cục bộ.
• AC:L (Attack Complexity: Low): Độ phức tạp của cuộc tấn công thấp, dễ dàng thực hiện.
• PR:N (Privileges Required: None): Kẻ tấn công không cần bất kỳ đặc quyền nào.
• UI:N (User Interaction: None): Không yêu cầu tương tác của người dùng.
• S:C (Scope: Changed): Lỗ hổng có thể ảnh hưởng đến các tài nguyên ngoài phạm vi bảo mật của thành phần bị ảnh hưởng.
• C:H (Confidentiality Impact: High): Tác động cao đến tính bảo mật, có thể dẫn đến việc tiết lộ thông tin nhạy cảm.
• I:H (Integrity Impact: High): Tác động cao đến tính toàn vẹn, có thể cho phép sửa đổi dữ liệu.
• A:H (Availability Impact: High): Tác động cao đến tính sẵn sàng, có thể gây ra từ chối dịch vụ.

Sự kết hợp của khả năng thực thi mã từ xa, không yêu cầu xác thực và tác động cao đến ba yếu tố bảo mật (bảo mật, toàn vẹn, sẵn sàng) đã đẩy điểm CVSS của lỗ hổng CVE này lên mức 10.0.

Chi Tiết Kỹ Thuật Lỗ Hổng CVE-2025-54254

Trong khi đó, CVE-2025-54254 khai thác các lỗ hổng XXE để cho phép đọc hệ thống tệp tùy ý. Điều này có thể dẫn đến việc lộ các tệp cấu hình nhạy cảm, thông tin đăng nhập và các dữ liệu quan trọng khác.

Vector CVSS của CVE-2025-54254 là CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:N/A:N. Phân tích vector này cho thấy:

• AV:N (Attack Vector: Network): Tấn công qua mạng.
• AC:L (Attack Complexity: Low): Độ phức tạp thấp.
• PR:N (Privileges Required: None): Không yêu cầu đặc quyền.
• UI:N (User Interaction: None): Không yêu cầu tương tác người dùng.
• S:C (Scope: Changed): Phạm vi bị ảnh hưởng có thể mở rộng.
• C:H (Confidentiality Impact: High): Tác động cao đến tính bảo mật, cho phép tiết lộ dữ liệu nhạy cảm.
• I:N (Integrity Impact: None): Không có tác động đến tính toàn vẹn.
• A:N (Availability Impact: None): Không có tác động đến tính sẵn sàng.

Mặc dù không có khả năng thực thi mã, lỗ hổng CVE-2025-54254 vẫn tiềm ẩn nguy cơ rò rỉ dữ liệu nghiêm trọng, đặc biệt là các thông tin nhạy cảm có thể bị sử dụng cho các cuộc tấn công tiếp theo.

Phạm Vi Ảnh Hưởng và Cập Nhật Bản Vá Bảo Mật

Các lỗ hổng CVE này ảnh hưởng đến Adobe Experience Manager Forms trên JEE phiên bản 6.5.23.0 và tất cả các phiên bản cũ hơn trên mọi nền tảng. Điều này cho thấy phạm vi ảnh hưởng rộng lớn, đòi hỏi hành động khẩn cấp từ phía các tổ chức đang sử dụng AEM Forms.

Adobe đã xác nhận rằng các mã khai thác thử nghiệm (proof-of-concept – PoC) cho cả hai lỗ hổng CVE này đã được công khai, làm tăng đáng kể nguy cơ bị tấn công. Tuy nhiên, công ty cũng cho biết chưa ghi nhận các lỗ hổng này bị khai thác tích cực trong thực tế.

Adobe đã phân loại các bản cập nhật này với trạng thái Priority 1, mức độ bảo mật cao nhất của hãng, nhấn mạnh sự cần thiết khẩn cấp để các tổ chức áp dụng các bản vá bảo mật ngay lập tức.

Phiên bản khắc phục toàn diện cho cả hai lỗ hổng là 6.5.0-0108. Hướng dẫn cập nhật chi tiết có sẵn thông qua tài liệu Experience League của Adobe. Các quản trị viên hệ thống cần thực hiện các bản cập nhật bảo mật ngay lập tức và xem xét lại cấu hình AEM Forms để đảm bảo các kiểm soát bảo mật phù hợp đã được áp dụng.

Tham khảo chi tiết tại: Adobe Security Bulletin APSB25-82.

Khuyến Nghị và Biện Pháp Phòng Ngừa

Sự xuất hiện của các lỗ hổng CVE này một lần nữa nhấn mạnh những thách thức bảo mật đang diễn ra trong các hệ thống quản lý nội dung doanh nghiệp, đặc biệt là những hệ thống xử lý dữ liệu kinh doanh nhạy cảm.

Các tổ chức sử dụng Adobe AEM Forms cần ngay lập tức đánh giá mức độ phơi nhiễm và ưu tiên triển khai các bản vá bảo mật để ngăn chặn nguy cơ bị xâm nhập. Việc có mã PoC công khai khiến các lỗ hổng này trở thành mục tiêu hấp dẫn đối với các tác nhân độc hại.

Ghi Nhận Đóng Góp

Adobe đã ghi nhận công lao của các nhà nghiên cứu Shubham Shah và Adam Kues thông qua chương trình săn lỗi nhận thưởng riêng tư với HackerOne. Điều này thể hiện cam kết của công ty đối với việc tiết lộ lỗ hổng một cách phối hợp và có trách nhiệm.

Công ty tiếp tục chấp nhận các báo cáo nghiên cứu bảo mật thông qua chương trình chỉ dành cho lời mời (invitation-only), khuyến khích tiết lộ có trách nhiệm các vấn đề bảo mật trong tương lai.