Teils kritische Sicherheitslücken in Adobe Experience Manager Forms

Das Landesamt für Verfassungsschutz Baden-Württemberg (LfV BW) veröffentlichte am 16. Oktober 2025 eine Sicherheitsmeldung zur folgenden kritischen Sicherheitslücke in der Software AEM Forms des Herstellers Adobe:

• CVE-2025-54253 (EUVD-2025-23647) mit dem höchsten CVSS-Score 10/10 ermöglicht Angreifenden, auf Systeme zuzugreifen mit anschließender Remote Code Execution (RCE).
• Eine weitere Schwachstelle, CVE-2025-54254 (EUVD-2025-23638), mit einem CVSS-Score von 8.6/10 ermöglicht Angreifenden zudem, beliebige Dateien auszulesen.

Das LfV BW bezieht sich auf eine Warnmeldung der US-amerikanischen Cybersecurity and Infrastructure Security Agency (CISA). Beide Behörden warnen eindringlich vor CVE-2025-54253, da AEM Forms eine weit verbreitete und häufig genutzte Software zur Erstellung digitaler Zeichen und Dokumente sei. Eine Ausnutzung der Sicherheitslücke in Deutschland sei dem LfV BW bisher jedoch nicht bekannt.

Adobe publizierte bereits am 5. August 2025 eine Sicherheitsmeldung zu beiden Schwachstellen. Die darin als betroffen beschriebenen Versionen sind AEM Forms 6.5.23.0 und alle Versionen davor. Mit 6.5.0-0108 veröffentlichte Adobe ein abgesichertes Update, das die Lücken schließt.

Installieren Sie umgehend die Version 6.5.0-0108 von AEM Forms.