FreeBuf.COM网络安全行业门户，每日发布专业的安全资讯、技术剖析。

美国网络安全和基础设施安全局（CISA）已将Adobe Experience Manager（AEM）的一个高危漏洞添加至其已知被利用漏洞（KEV）目录，此前已确认该漏洞在野遭到活跃利用。

该漏洞编号为CVE-2025-54253，CVSS严重性评分达到最高的10.0分，表明其影响极为严重，攻击者可借此在未授权情况下在易受攻击的服务器上执行任意代码。

漏洞影响范围

根据Adobe的安全公告，该漏洞影响Adobe Experience Manager（AEM）Forms 6.5.23及更早版本。漏洞源于配置错误问题，攻击者可借此绕过内置安全机制，在无需用户交互的情况下在受影响系统上执行任意代码。

Adobe确认："Adobe Experience Manager 6.5.23及更早版本存在配置错误漏洞，可能导致任意代码执行。攻击者可利用此漏洞绕过安全机制执行代码。利用此问题无需用户交互，且作用域已变更。"

PoC公开加剧风险

Adobe承认CVE-2025-54253目前已有公开的概念验证（PoC）利用代码在网上流传。该公司在安全公告中表示："Adobe已知CVE-2025-54253和CVE-2025-54254存在公开可用的概念验证。"

这一情况显著增加了风险，因为PoC利用代码的公开通常会加速勒索软件组织、僵尸网络和初始访问代理对企业环境的攻击活动。

修复时间紧迫

安全研究人员警告称，AEM实例通常直接暴露在互联网上，用于关键内容交付和工作流管理，这使其成为攻击活动的首要目标。

鉴于漏洞已被确认利用，CISA已要求所有联邦民事行政部门（FCEB）机构在2025年11月5日前修复CVE-2025-54253漏洞。

参考来源：

CISA Emergency Alert: Critical Adobe AEM Flaw (CVE-2025-54253, CVSS 10.0) Under Active Exploitation

免责声明

1.一般免责声明：本文所提供的技术信息仅供参考，不构成任何专业建议。读者应根据自身情况谨慎使用且应遵守《中华人民共和国网络安全法》，作者及发布平台不对因使用本文信息而导致的任何直接或间接责任或损失负责。

2. 适用性声明：文中技术内容可能不适用于所有情况或系统，在实际应用前请充分测试和评估。若因使用不当造成的任何问题，相关方不承担责任。

3. 更新声明：技术发展迅速，文章内容可能存在滞后性。读者需自行判断信息的时效性，因依据过时内容产生的后果，作者及发布平台不承担责任。

本文为 独立观点，未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件，请联系 FreeBuf 客服小蜜蜂（微信：freebee1024）