ช่องโหว่ Zero-Day ใน AEM Forms ได้รับการแก้ไขฉุกเฉินโดย Adobe

Last updated: 7 Aug 2025

172 Views

สรุปข้อมูล

Adobe ได้ออกอัปเดตความปลอดภัยแบบเร่งด่วนเพื่อแก้ไขช่องโหว่ Zero-Day ที่มีความรุนแรง 2 รายการ ซึ่งพบใน Adobe Experience Manager Forms บน Java EE หลังจากมีการเปิดเผยตัวอย่างการโจมตี (PoC) ที่แสดงให้เห็นว่าสามารถใช้ช่องโหว่นี้ในการรันคำสั่งจากระยะไกลได้ โดยไม่จำเป็นต้องผ่านกระบวนการยืนยันตัวตนบนเซิร์ฟเวอร์ที่ได้รับผลกระทบ

รายละเอียดช่องโหว่

CVE-2025-54254 (คะแนน CVSS 8.6/10 ระดับความรุนแรง High) ช่องโหว่ประเภท Improper Restriction of XML External Entity Reference (XXE) เปิดโอกาสให้แฮกเกอร์สามารถเข้าถึงไฟล์ที่มีข้อมูลสำคัญบนระบบที่มีช่องโหว่ โดยไม่จำเป็นต้องมีการตอบสนองจากผู้ใช้งาน ซึ่งเพิ่มความเสี่ยงในการถูกเจาะระบบและรั่วไหลของข้อมูลสำคัญอย่างมาก โดยเฉพาะในสภาพแวดล้อมที่ระบบมีการจัดเก็บข้อมูลสำคัญ
CVE-2025-54253 (คะแนน CVSS 10/10 ระดับความรุนแรง Critical) ช่องโหว่ด้านการตั้งค่าคอนฟิกผิดพลาด ซึ่งอาจเปิดโอกาสให้แฮกเกอร์สามารถรันโค้ดอันตรายใด ๆ บนระบบได้ ช่องโหว่นี้สามารถถูกใช้ประโยชน์เพื่อหลีกเลี่ยงกลไกความปลอดภัยที่มีอยู่ และดำเนินการรันคำสั่งหรือโค้ดบนระบบโดยไม่ต้องมีการตอบสนองจากผู้ใช้งาน ทั้งยังมีการเปลี่ยนแปลงขอบเขตของการเข้าถึง ซึ่งอาจส่งผลให้การโจมตีขยายวงกว้างยิ่งขึ้น

เวอร์ชันที่ได้รับผลกระทบ

Adobe Experience Manager (AEM) เวอร์ชัน 6.5.23 และเวอร์ชันก่อนหน้า

Adobe แนะนำให้ผู้ดูแลระบบดำเนินการติดตั้งแพตช์ hotfix เวอร์ชันล่าสุดโดยทันทีเพื่ออุดช่องโหว่ที่มีความรุนแรงสูง อย่างไรก็ตาม หากยังไม่สามารถอัปเดตได้ในขณะนี้ ควรดำเนินมาตรการลดความเสี่ยงดังต่อไปนี้:

จำกัดการเข้าถึง Adobe AEM Forms จากเครือข่ายอินเทอร์เน็ตภายนอก
ตรวจสอบให้แน่ใจว่าไม่ได้เปิดใช้งาน Developer Mode บนระบบที่ใช้งานจริง

ผลกระทบจากช่องโหว่

ผลกระทบของช่องโหว่ Zero-Day ทั้งสองรายการที่ค้นพบใน Adobe Experience Manager Forms บน Java EE ส่งผลให้ระบบมีความเสี่ยงต่อการถูกโจมตีจากระยะไกลโดยไม่ต้องยืนยันตัวตน ซึ่งอาจนำไปสู่การรั่วไหลของข้อมูล ความเสียหายต่อความมั่นคงของระบบ และการเข้าควบคุมเซิร์ฟเวอร์โดยแฮกเกอร์ โดยเฉพาะอย่างยิ่งในกรณีที่ระบบถูกเปิดใช้งานผ่านอินเทอร์เน็ตหรือไม่ได้รับการป้องกันอย่างเหมาะสม

คำแนะนำ