la amenaza oculta vulnerabilidad critica en adobe aem forms bajo explotacion activa

La amenaza oculta: Vulnerabilidad crítica en Adobe AEM Forms bajo explotación activa

PorCarlos Ribeiro

La CISA (Agencia de Ciberseguridad de Estados Unidos) lanzó esta semana una advertencia que me ha llamado la atención: una vulnerabilidad crítica en Adobe Experience Manager Forms está siendo explotada activamente por atacantes. Y no, no es una vulnerabilidad cualquiera—estamos hablando de una falla con la máxima puntuación CVSS posible: 10 sobre 10.

Anatomía de una vulnerabilidad perfecta (para los atacantes)

La vulnerabilidad, identificada como CVE-2025-54253, afecta a Adobe AEM Forms, una solución bastante extendida en entornos empresariales para crear y gestionar documentos y formularios digitales. Adobe lanzó un parche de emergencia en agosto, fuera de su ciclo regular de actualizaciones, lo que ya nos da una pista de la gravedad del asunto.

Lo que hace a esta vulnerabilidad especialmente peligrosa es su naturaleza: combina un bypass de autenticación con un error de configuración que deja habilitado el modo de desarrollo Struts para la interfaz de administración. Esta combinación es como dejar las llaves puestas en un Ferrari con el motor encendido.

El cóctel perfecto de problemas técnicos

Según Shubham Shah y Adam Kues, los investigadores de Searchlight Cyber que descubrieron la falla, un atacante podría:

  1. Eludir completamente los mecanismos de autenticación
  2. Ejecutar expresiones OGNL (Object-Graph Navigation Language)
  3. Aprovechar bypasses de sandbox públicos para conseguir ejecución remota de código

En términos prácticos, esto significa que un atacante podría tomar control completo de los sistemas afectados. Y lo peor es que ya existía un exploit público disponible cuando Adobe lanzó el parche, lo que aceleró considerablemente la ventana de oportunidad para los atacantes.

No viene sola: la vulnerabilidad gemela

Junto a esta falla crítica, Adobe también parcheó otra vulnerabilidad de alto impacto en el mismo sistema. Catalogada como CVE-2025-54254, con una puntuación CVSS de 8.6, permite la lectura arbitraria del sistema de archivos debido a restricciones inadecuadas en referencias XML externas.

Aunque no es tan grave como su hermana mayor, esta segunda vulnerabilidad podría usarse para acceder a información sensible almacenada en los servidores de las víctimas. Ambas vulnerabilidades afectan a AEM Forms en Java Enterprise Edition (JEE) en versiones anteriores a la 6.5.0-0108.

Del proof-of-concept a la explotación en tiempo real

Lo preocupante del caso es que hemos pasado de tener una prueba de concepto publicada a ver ataques reales en cuestión de semanas. La inclusión de esta vulnerabilidad en el catálogo KEV (Known Exploited Vulnerabilities) de CISA confirma que los atacantes no han perdido el tiempo.

Las agencias federales estadounidenses tienen ahora tres semanas para identificar instalaciones vulnerables y aplicar los parches disponibles. Aunque esta directiva (BOD 22-01) solo afecta a entidades gubernamentales, CISA recomienda que todas las organizaciones actualicen sus sistemas lo antes posible.

El contexto más amplio: un otoño caliente para la seguridad

Esta vulnerabilidad de Adobe no es un caso aislado. Como comentamos en secciones anteriores, estamos viendo un repunte de fallos críticos en productos empresariales. Solo esta semana, Adobe ha lanzado parches para más de 35 fallos de seguridad en sus productos, incluyendo una vulnerabilidad crítica en su suite de colaboración Connect.

A esto hay que sumarle los más de 170 fallos parcheados por Microsoft recientemente, incluyendo vulnerabilidades de Windows que ya estaban siendo explotadas. También hemos visto actualizaciones de seguridad importantes en sistemas de control industrial (ICS) de fabricantes como Siemens, Schneider Electric y Rockwell.

Cuando los zero-days se vuelven armas reales

Casos como el reciente zero-day de Fortra GoAnywhere MFT, que fue explotado en ataques ransomware, nos recuerdan que el tiempo entre el descubrimiento de una vulnerabilidad y su explotación masiva se ha reducido drásticamente.

La disponibilidad de pruebas de concepto públicas acelera este proceso, poniendo más presión sobre los equipos de seguridad para implementar parches con rapidez. Para la vulnerabilidad de Adobe AEM Forms, este ciclo ha sido especialmente rápido, lo que subraya la necesidad de contar con procesos ágiles de gestión de parches.

Lecciones prácticas para la protección

Si tu organización utiliza Adobe AEM Forms, lo más urgente es actualizar a la versión 6.5.0-0108 o posterior. Pero más allá de este caso concreto, hay algunas lecciones que podemos extraer:

  1. Los parches fuera de ciclo (out-of-band) deberían tratarse siempre con la máxima prioridad
  2. Las configuraciones por defecto pueden ser tan peligrosas como el código vulnerable
  3. Los productos de gestión de documentos y formularios son objetivos cada vez más atractivos para los atacantes

Y aunque pueda parecer obvio, la monitorización continua de los anuncios de seguridad y las alertas de CISA sigue siendo una de las mejores defensas contra este tipo de amenazas. La velocidad de respuesta marca la diferencia entre un incidente contenido y una brecha de seguridad catastrófica.

Publicaciones Similares

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *