CVE-2025-49533

Nome do Software Vulnerável e Versões Afetadas Adobe Experience Manager (MS) versões 6.5.23.0 e anteriores Adobe Experience Manager (AEM) Forms on JEE (versões afetadas não especificadas)

Descrição O software está suscetível a um problema de Desserialização de Dados Não Confiáveis. A exploração bem-sucedida deste problema não requer interação do usuário e pode permitir que um atacante remoto execute código arbitrário. A vulnerabilidade reside no módulo FormServer, especificamente dentro do endpoint GetDocumentServlet. O servlet processa dados fornecidos pelo usuário, decodificando e desserializando-os sem a validação adequada. Um atacante pode enviar dados maliciosos, potencialmente codificados em Base64 e compactados com gzip, para executar comandos no servidor. O endpoint da API /FormServer/servlet/GetDocumentServlet é utilizado para entregar o payload malicioso. O parâmetro vulnerável é serDoc. Um servidor Python pode ser usado para emular o processo de desserialização, demonstrando como um payload elaborado pode levar à Execução Remota de Código (RCE).

Recomendações Atualize o Adobe Experience Manager para uma versão posterior à 6.5.23.0. Atualize o Adobe AEM Forms on JEE para uma versão mais recente que corrija este problema.