أدرجت وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA) يوم الأربعاء ثغرة أمنية خطيرة في نظام Adobe Experience Manager (AEM) ضمن كتالوج الثغرات المستغلة فعليًا (KEV)، بعد ثبوت وجود عمليات استغلال نشطة تستهدفها في الميدان.
ثغرة خطيرة قابلة لتنفيذ التعليمات البرمجية عن بُعد
الثغرة المشار إليها تحمل المعرّف CVE-2025-54253، وقد حصلت على درجة خطورة قصوى (10.0) ضمن مقياس CVSS، نظرًا لأنها ناتجة عن خطأ في إعدادات التكوين يسمح بتنفيذ تعليمات برمجية عشوائية على الأنظمة المستهدفة.
ووفقًا لشركة Adobe، فإن الثغرة تؤثر على إصدارات Adobe Experience Manager (AEM) Forms on JEE حتى النسخة 6.5.23.0 وما قبلها، وقد تم إصلاحها في النسخة 6.5.0-0108 الصادرة في أوائل أغسطس 2025، والتي شملت أيضًا معالجة ثغرة أخرى هي CVE-2025-54254 بدرجة خطورة 8.6.
تفاصيل الاستغلال وأصل الثغرة
كشف باحثا شركة Searchlight Cyber، آدم كيوس وشوبهام شاه، في يوليو 2025 عن تفاصيل الثغرتين، موضحين أن CVE-2025-54253 تمثل “سلسلة من تجاوز المصادقة وصولًا إلى تنفيذ تعليمات برمجية عن بُعد (RCE) عبر وضع Struts2 devmode”، في حين أن CVE-2025-54254 تتعلق بحقن XML External Entity (XXE) داخل خدمات الويب الخاصة بـ AEM Forms.
وأوضحت شركة FireCompass أن أصل الخلل يكمن في تعريض واجهة /adminui/debug للخطر، إذ تتيح هذه الواجهة تقييم تعبيرات OGNL المُرسلة من المستخدمين ككود Java دون الحاجة إلى مصادقة أو تحقق من المدخلات. وبذلك يتمكن المهاجم من تنفيذ أوامر نظامية عشوائية عبر طلب HTTP واحد مصمم بعناية.
تحذير رسمي واستغلال فعلي
لم تُنشر بعد تفاصيل علنية حول كيفية استغلال الثغرة في الهجمات الواقعية، غير أن شركة Adobe أكدت في بيانها أن الثغرتين CVE-2025-54253 وCVE-2025-54254 تمتلكان نموذج إثبات مفهوم متاحًا للعامة (PoC)، مما يزيد من خطورتهما على المؤسسات التي لم تُحدّث أنظمتها بعد.
ونظرًا لثبوت الاستغلال النشط، أوصت وكالة CISA الوكالات الفيدرالية ضمن القطاع التنفيذي المدني الأمريكي (FCEB) بتطبيق التصحيحات الأمنية اللازمة قبل 5 نوفمبر 2025 كحد أقصى.
سياق أوسع لتحركات CISA
يأتي هذا التحرك بعد يوم واحد فقط من قيام CISA بإضافة ثغرة أخرى خطيرة إلى الكتالوج نفسه، تتعلق ببرنامج SKYSEA Client View (المعرّف CVE-2016-7836) بدرجة خطورة 9.8، وهي ثغرة في المصادقة تسمح بتنفيذ تعليمات برمجية عن بُعد عبر خلل في معالجة الاتصال عبر TCP مع وحدة التحكم الإدارية، وفقًا لتحذير سابق من Japan Vulnerability Notes (JVN).
