Atténuation de l’exécution de code à distance (CVE-2025-49533), de la configuration du mode de développement Struts (CVE-2025-54253), des XXE (CVE-2025-54254) et des vulnérabilités pour AEM Forms sur JEE mitigating-xxe-configuration-rce-vulnerabilities-aem-forms
Référence rapide
Vulnérabilités corrigées :
- Exécution du code à distance (CVE-2025-49533)
- Problèmes de sécurité de la configuration (CVE-2025-54253)
- Traitement d’une entité externe XML (XXE) (CVE-2025-54254)
Vue d’ensemble
Éléments affectés
Éléments non affectés
- Workbench Experience Manager Forms (toutes les versions)
- Experience Manager Forms sur OSGi (toutes les versions)
- Experience Manager Forms as a Cloud Service
Options de résolution
Avant de commencer
Avant d’apporter toute modification, effectuez une sauvegarde du fichier EAR ou DSC que vous allez modifier ou mettre à jour :
- Recherchez le fichier EAR ou DSC d’origine dans votre répertoire de déploiement.
- Copiez le fichier vers un emplacement de sauvegarde sécurisé en dehors du répertoire de déploiement.
- Vérifiez que la sauvegarde est terminée et accessible avant de procéder aux mises à jour.
Cette précaution vous permet d’effectuer une restauration à l’état d’origine en cas de problème lors du processus de mise à jour.
Option 1 : (pour les utilisateurs et les utilisatrices de la version 6.5.23.0) installez le correctif le plus récent
-
Suivez les instructions d’installation standard du correctif.
-
Si vous utilisez Document Security (anciennement Rights Management) sur IBM WebSphere ou Oracle WebLogic, définissez la propriété système Java suivante (argument JVM) avant de démarrer le serveur AEM Forms :
code language-none -Dcom.adobe.forms.jee.services.allowDoctypeDeclaration=true -
Redémarrez le serveur d’applications.
Option 2 : (pour les utilisateurs et les utilisatrices de la version 6.5.18.0 - 6.5.22.0) Installation manuelle du correctif
Étape 1 : téléchargez et extrayez le package du correctif
- Téléchargez le correctif pour 6.5.18.0 - 6.5.22. à partir du portail de distribution de logiciels Adobe.
- Extrayez-le localement
Étape 2 : accédez au dossier de version approprié
-
En fonction de la version du pack de services installée sur votre environnement, accédez au dossier correspondant.
Par exemple, pour le pack de services 20, le dossier est :
code language-none <extracted-hotfix>/SP20/
Étape 3 : recherchez le répertoire de déploiement
-
Sur votre serveur AEM Forms sur JEE, accédez à :
code language-none [AEM installation directory]/deployExemple :
adobe/adobe-experience-manager-forms/deploy
Étape 4 : mettez à jour et remplacez les fichiers EAR
| tabs | |||||||||
|---|---|---|---|---|---|---|---|---|---|
| JBoss |
|
||||||||
| WebLogic |
|
||||||||
| WebSphere |
|
Étape 5 : mettez à jour le fichier adobe-rightsmanagement-<appserver>-dsc.jaravec
| code language-none |
|---|
|
Par exemple, adobe-xxe-configuration-hotfix/SP20/jboss/adobe-rightsmanagement-jboss-dsc.jar.
Étape 6 : configuration supplémentaire pour Document Security sur WebSphere et WebLogic :
Si vous utilisez Document Security (anciennement Rights Management), définissez la propriété système Java suivante (argument JVM) avant de démarrer le serveur AEM Forms :
| code language-none |
|---|
|
Étape 7 : réexécutez le gestionnaire de configuration
- Lancez le gestionnaire de configuration pour redéployer le fichier EAR mis à jour et appliquer le correctif.
Option 3 : (pour les utilisateurs et les utilisatrices de la version 6.5.17.0 et versions antérieures) chemin de mise à niveau
- Mettez à niveau vers une version de pack de services prise en charge.
- Suivez les options 1 ou 2 ci-dessus en fonction de votre nouvelle version.