Una falla de configuración en Adobe Experience Manager (CVE-2025-54253) permite la ejecución remota de código sin autenticación. La agencia de ciberseguridad de los Estados Unidos confirmó su explotación activa.
La Agencia de Seguridad de Infraestructura y Ciberseguridad de los Estados Unidos (CISA) alertó recientemente sobre la explotación activa de una vulnerabilidad crítica en Adobe Experience Manager (AEM) Forms en Java Enterprise Edition (JEE), identificada como CVE-2025-54253. El fallo, calificado con severidad máxima (10/10), fue incorporado recientemente al catálogo de vulnerabilidades explotadas conocidas (KEV), tras confirmarse su uso en ataques reales.
La vulnerabilidad, corregida por Adobe en agosto de 2025, se debe a una configuración errónea en el modo de desarrollo (devMode) del marco Apache Struts en la interfaz administrativa de AEM Forms. Esta falla permite a atacantes no autenticados ejecutar código arbitrario en los servidores afectados mediante expresiones evaluadas por Struts, lo que puede conducir a una ejecución remota de código (RCE).
De acuerdo con los investigadores de Searchlight Cyber que descubrieron el fallo junto con otras dos vulnerabilidades (CVE-2025-54254 y CVE-2025-49533), “el error afecta principalmente a implementaciones independientes de AEM Forms sobre servidores compatibles con J2EE, como JBoss”.
El hallazgo fue reportado a Adobe el 28 de abril, pero la compañía solo abordó una de las tres fallas en su actualización inicial de abril, dejando las demás expuestas por más de 90 días. Ante la demora, los investigadores publicaron el 29 de julio un análisis técnico que detallaba cómo podía explotarse la vulnerabilidad. Pocos días después, comenzaron a circular pruebas de concepto (PoC) funcionales.
Aunque Adobe lanzó un parche el 9 de agosto de 2025, la disponibilidad pública del exploit facilitó su uso por actores maliciosos. “Las vulnerabilidades permiten ataques de baja complejidad y no requieren interacción del usuario”, detallaron los especialistas.
En Estados Unidos, CISA ordenó a las agencias federales aplicar las actualizaciones antes del 5 de noviembre de 2025. Si bien la mitigación inmediata no es posible, la agencia recomienda restringir el acceso a AEM Forms desde Internet o, de ser necesario, suspender su uso hasta que los parches puedan aplicarse.
“Estas vulnerabilidades representan vectores de ataque comunes para actores cibernéticos maliciosos y suponen un riesgo significativo para la infraestructura federal”, señaló la CISA en su comunicado.
Por su parte, Adobe recordó que los usuarios deben actualizar a la versión 6.5.0-0108 o superior para proteger sus entornos y evitar que el fallo sea aprovechado para tomar control remoto de los sistemas.