Dentro de la ciberseguridad no hay tregua, y esta vez le ha tocado a Adobe. La compañía acaba de lanzar parches de emergencia para dos vulnerabilidades críticas en Adobe Experience Manager (AEM) Forms on JEE, después de que se hicieran públicos exploits que permiten ejecutar código de manera remota en servidores vulnerables sin necesidad de autenticación.
En TecnetOne queremos contarte qué ha sucedido, por qué estos fallos son tan graves y, sobre todo, qué debes hacer para proteger tus sistemas cuanto antes.
Los fallos críticos detectados
Las vulnerabilidades han sido identificadas como CVE-2025-54253 y CVE-2025-54254, y ambas tienen un nivel de riesgo muy alto:
- CVE-2025-54253: un error de configuración que permite la ejecución arbitraria de código. Clasificado como “Crítico”, con una puntuación CVSS de 8.6.
- CVE-2025-54254: un fallo de XXE (XML External Entity) que posibilita la lectura de archivos del sistema sin autenticación. Su gravedad es máxima, con un CVSS de 10.0.
Adobe ya publicó una actualización de seguridad que corrige estos fallos. Si administras servidores con AEM Forms, es vital que instales estas actualizaciones de inmediato.
Conoce más: ¿Qué es la Gestión de Parches de Terceros?
Cómo se descubrieron las vulnerabilidades
Los investigadores Shubham Shah y Adam Kues de Searchlight Cyber notificaron estos fallos a Adobe el 28 de abril de 2025. En esa misma comunicación, también reportaron una tercera vulnerabilidad: CVE-2025-49533, que fue corregida recién el 5 de agosto.
Sin embargo, las dos más graves (54253 y 54254) quedaron sin parchear durante más de 90 días, lo que abrió la puerta a que actores maliciosos prepararan ataques mientras los sistemas seguían expuestos.
El pasado 29 de julio, los investigadores publicaron un informe técnico explicando cómo funcionan y cómo podrían explotarse estos fallos, lo que aceleró la urgencia del parche por parte de Adobe.
Detalles técnicos de los fallos
Para entender la magnitud del problema, veamos cómo funcionan estas vulnerabilidades:
CVE-2025-49533 – Deserialización insegura en FormServer
Este fallo, ya corregido, permitía la ejecución remota de código sin autenticación. El problema estaba en un servlet que procesaba datos proporcionados por el usuario, decodificándolos y deserializándolos sin validación.
En la práctica, esto permitía a un atacante enviar un payload malicioso y ejecutar comandos directamente en el servidor.
CVE-2025-54254 – XXE en el servicio SOAP
Esta vulnerabilidad afectaba a un servicio web encargado de la autenticación mediante SOAP. Con un XML malicioso, un atacante podía engañar al sistema para que mostrara archivos locales del servidor, como el clásico win.ini en Windows, sin necesidad de autenticarse.
Este tipo de fallo no solo expone información sensible, sino que también puede ser la puerta de entrada para ataques más complejos.
CVE-2025-54253 – Modo de desarrollo habilitado por error
Aquí la causa fue una mala configuración: el modo de desarrollo de Struts2 quedó activo en el módulo /adminui. Esto permitió a los atacantes ejecutar expresiones OGNL enviadas como parámetros de depuración en solicitudes HTTP.
En palabras simples, bastaba con que el servidor recibiera una petición manipulada para que el atacante pudiera ejecutar comandos arbitrarios.
También podría interesarte: Adobe Corrige 254 Fallos Críticos en sus Productos Principales
El riesgo real para tu organización
Si usas Adobe Experience Manager Forms on JEE, estas vulnerabilidades representan un riesgo crítico porque:
- No requieren autenticación: cualquier atacante remoto podría explotarlas.
- Permiten ejecución de código: lo que significa control total sobre el servidor comprometido.
- Exponen información confidencial: desde archivos del sistema hasta datos sensibles de tu organización.
- Pueden usarse en cadena: combinando fallos para ampliar el alcance del ataque.
Un ataque exitoso podría traducirse en:
- Robo de información privada o financiera.
- Interrupción total de tus servicios en línea.
- Uso del servidor comprometido para lanzar ataques contra terceros.
- Daños reputacionales y posibles sanciones regulatorias.
Qué hacer ahora: medidas urgentes
En TecnetOne te recomendamos tomar acción de inmediato con los siguientes pasos:
Instala las actualizaciones de Adobe
Revisa el último boletín de seguridad de Adobe y asegúrate de aplicar tanto las actualizaciones como los hotfixes disponibles.
Verifica la configuración de tus servidores
Desactiva cualquier modo de desarrollo o configuración que pueda exponer parámetros de depuración.
Refuerza la monitorización de seguridad
Implementa herramientas que detecten comportamientos anómalos en tiempo real para identificar posibles intentos de explotación.
Restringe el acceso a servicios expuestos
Si no es estrictamente necesario, evita que servicios como el módulo /adminui estén accesibles desde internet.
Forma a tu equipo de TI
Asegúrate de que tus administradores comprendan la naturaleza de estos fallos y sepan cómo responder ante incidentes.
Planifica pruebas de penetración
Realizar evaluaciones periódicas de seguridad puede ayudarte a detectar vulnerabilidades antes que los atacantes.
El valor de la prevención en ciberseguridad
La lección que nos deja este incidente es clara: esperar nunca es una opción. Aunque los fallos fueron reportados en abril, el retraso en su corrección dejó a cientos de organizaciones expuestas.
La única manera de minimizar riesgos es contar con un enfoque proactivo:
- Aplicar parches en cuanto estén disponibles.
- Configurar correctamente cada entorno.
- Apoyarse en soluciones avanzadas de ciberseguridad que puedan detectar intentos de explotación antes de que sea tarde.
Conclusión: No dejes tu seguridad para mañana
Las vulnerabilidades descubiertas en Adobe AEM Forms son un recordatorio de lo frágil que puede ser la seguridad de un sistema complejo. Si usas esta plataforma, debes actuar ahora.
En TecnetOne podemos ayudarte a implementar parches, reforzar configuraciones y desplegar soluciones de seguridad de última generación, para que tu empresa esté protegida frente a exploits de día cero y ataques de ejecución remota.
Recuerda: cada día que pasa sin proteger tu infraestructura es una oportunidad para los atacantes. La prevención no solo evita pérdidas financieras, sino que también protege la confianza de tus clientes y la reputación de tu negocio.