- Adobe는 사용자 상호 작용 없이 코드 실행 및 파일 액세스를 가능하게 하는 두 가지 중요한 AEM 결함을 패치했습니다.
- CISA는 활성 익스플로잇을 확인하는 CVE-2025-54253 및 CVE-2025-54254를 KEV에 추가했습니다.
- 대행사는 11월 5일까지 패치를 완료해야 합니다. 막대한 위험으로 인해 민간 부문도 이를 따르도록 촉구되었습니다.
Adobe는 최근 악의적인 행위자가 임의 코드를 실행할 수 있도록 허용하는 가장 심각도가 높은 결함을 포함하여 Experience Manager 제품의 두 가지 결함을 패치했습니다.
회사는 실제 공격에 대해 “인식”하지 못했다고 말했지만, 개념 증명(PoC) 공격을 본 적이 있다고 밝혔습니다. 또한 미국 사이버보안 및 기반시설 보안국(CISA)은 이를 KEV(알려진 악용 가능한 취약점 카탈로그)에 추가해 공격에 사용되고 있음을 의미합니다.
AEM(Adobe Experience Manager)은 웹 사이트, 모바일 앱 및 디지털 경험을 만들고 관리하는 데 사용되는 Adobe의 엔터프라이즈 수준 콘텐츠 관리 시스템(CMS)입니다. 대규모 조직이 다양한 채널에서 개인화된 콘텐츠를 생성, 구성 및 제공하는 데 도움이 됩니다.
CISA의 KEV에 추가됨
문제의 두 가지 버그는 CVE-2025-54253 및 CVE-2025-54254로 추적됩니다. 전자는 보안 조치를 우회하기 위해 악용될 수 있는 “잘못된 구성 취약점”으로 설명되며 심각도 점수는 10/10(심각)입니다.
후자는 “XML 외부 엔터티 참조(‘XXE)’의 부적절한 제한으로, 임의의 파일 시스템 읽기로 이어질 수 있으며 공격자가 사용자 상호 작용 없이 민감한 파일에 액세스할 수 있도록 허용합니다.” 심각도 점수는 8.6/10(높음)으로 지정되었습니다.
Adobe Experience Manager 버전 6.5.23 이하에서 두 가지 버그가 발견되었습니다. 올해 8월에 출시된 패치는 이 도구를 버전 6.5.0-0108로 제공합니다.
10월 15일 CISA는 KEV 카탈로그에 두 가지 오류를 모두 추가하여 실제 남용 보고를 확인했습니다. HEV에 버그가 추가되면 FCEB(Federal Civilian Executive Branch) 기관은 3주 동안 사용 가능한 솔루션과 완화 조치를 구현하거나 취약한 도구 사용을 완전히 중단해야 합니다.
Adobe의 경우 대행사는 2025년 11월 5일까지 패치를 적용해야 합니다.
CISA 마감일은 FCEB 기관에만 적용되지만 사이버 범죄자는 둘을 거의 구별하지 않고 취약한 사람들을 표적으로 삼기 때문에 다른 기관과 민간 부문 기업도 이를 따르는 것이 좋습니다.
~을 통해 해커 뉴스
Google 뉴스에서 TechRadar 팔로우 그리고 우리를 선호 소스로 추가하세요 귀하의 피드에서 전문가로부터 뉴스, 리뷰, 의견을 받아보세요. 팔로우 버튼을 꼭 눌러주시는 것 잊지 마세요!
그리고 물론 당신은 할 수 있습니다 TikTok에서 TechRadar 팔로우 뉴스, 리뷰, 언박싱, 동영상 등의 형태로 정기적인 업데이트를 받아보세요. 왓츠앱 매우
