Fehlerbehebung bei RCE (CVE-2025-49533), der Struts-Dev-Modus-Konfiguration (CVE-2025-54253), XXE (CVE-2025-54254) und Sicherheitslücken für AEM Forms auf JEE mitigating-xxe-configuration-rce-vulnerabilities-aem-forms
Kurzübersicht
Behobene Sicherheitslücken:
- Remote-Code-Ausführung (CVE-2025-49533)
- Konfigurationsprobleme (CVE-2025-54253)
- Verarbeitung von XML External Entity (XXE) (CVE-2025-54254)
Überblick
Betroffene Elemente
Was nicht betroffen ist
- Experience Manager Forms Workbench (alle Versionen)
- Experience Manager Forms auf OSGi (alle Versionen)
- Experience Manager Forms as a Cloud Service
Optionen zur Auflösung
Bevor Sie beginnen
Bevor Sie Änderungen vornehmen, sichern Sie die EAR- oder DSC-Datei, die Sie ändern oder aktualisieren möchten:
- Suchen Sie dazu die ursprüngliche EAR- oder DSC-Datei in Ihrem Bereitstellungsverzeichnis.
- Kopieren Sie die Datei an einen sicheren Sicherungsspeicherort außerhalb des Bereitstellungsverzeichnisses.
- Stellen Sie sicher, dass die Sicherung abgeschlossen ist und zugänglich ist, bevor Sie mit Aktualisierungen fortfahren.
Dank dieser Vorsichtsmaßnahme können Sie den Originalzustand wiederherstellen, falls während des Aktualisierungsprozesses Probleme auftreten.
Option 1: (Für Benutzende mit Version 6.5.23.0) Neuesten Hotfix installieren
-
Laden Sie den Hotfix für 6.5.23.0 herunter.
-
Befolgen Sie die standardmäßigen Hotfix/Patch-Installationsanweisungen
-
Wenn Sie die Dokumentensicherheit (früher Rights Management) auf IBM WebSphere oder Oracle WebLogic verwenden, legen Sie die folgende Java-Systemeigenschaft (JVM-Argument) fest, bevor Sie den AEM Forms-Server starten:
code language-none -Dcom.adobe.forms.jee.services.allowDoctypeDeclaration=true -
Starten Sie den Anwendungs-Server neu.
Option 2: (Für Benutzende auf 6.5.18.0 – 6.5.22.0) Manuelle Hotfix-Installation
Schritt 1: Herunterladen und Extrahieren des Hotfix-Pakets
- Laden Sie den Hotfix für 6.5.18.0 – 6.5.22. vom Adobe-Software-Verteilungsportal herunter.
- Lokal extrahieren
Schritt 2: Navigieren Sie zum richtigen Versionsordner
-
Gehen Sie je nach der in Ihrer Umgebung installierten Service Pack-Version zum entsprechenden Ordner.
Beispiel: Der Ordner für Service Pack 20 lautet:
code language-none <extracted-hotfix>/SP20/
Schritt 3: Suchen Sie das Bereitstellungsverzeichnis
-
Wechseln Sie auf Ihrem AEM Forms auf JEE-Server zu:
code language-none [AEM installation directory]/deployBeispiel:
adobe/adobe-experience-manager-forms/deploy
Schritt 4: Aktualisieren und ersetzen Sie die EAR-Dateien
| tabs | |||||||||
|---|---|---|---|---|---|---|---|---|---|
| JBoss |
|
||||||||
| WebLogic |
|
||||||||
| WebSphere |
|
Schritt 5: Aktualisieren Sie die Datei adobe-rightsmanagement-<appserver>-dsc.jar mit
| code language-none |
|---|
|
Zum Beispiel: adobe-xxe-configuration-hotfix/SP20/jboss/adobe-rightsmanagement-jboss-dsc.jar
Schritt 6: Zusätzliche Konfiguration für die Dokumentensicherheit auf WebSphere und WebLogic:
Wenn Sie Document Security (früher Rights Management) verwenden, legen Sie die folgende Java-Systemeigenschaft (JVM-Argument) fest, bevor Sie den AEM Forms-Server starten:
| code language-none |
|---|
|
Schritt 7: Führen Sie den Konfigurations-Manager erneut aus
- Starten Sie den Konfigurations-Manager, um die aktualisierte EAR-Datei erneut bereitzustellen und den Hotfix anzuwenden
Option 3: (Für Benutzende mit 6.5.17.0 und früher) Aktualisierungspfad
- Aktualisieren auf eine unterstützte Service Pack-Version
- Befolgen Sie je nach Ihrer neuen Version Option 1 oder Option 2 oben