DocumentazioneAEM 6.5Guida utente

Mitigazione di RCE (CVE-2025-49533), configurazione Struts Dev Mode (CVE-2025-54253), XXE (CVE-2025-54254) e vulnerabilità per AEM Forms su JEE mitigating-xxe-configuration-rce-vulnerabilities-aem-forms

Last update: Thu Aug 14 2025 00:00:00 GMT+0000 (Coordinated Universal Time)
  • Si applica a:
  • Experience Manager 6.5

Creato per:

  • Amministratore

Riferimento rapido

Livello di impatto
Versioni interessate
Azione consigliata
Critico
AEM 6.5 Forms su JEE Service Pack 23 (6.5.23.0)
Installa aggiornamento rapido più recente
Critico
AEM 6.5 Forms su JEE Service Pack 18-22 (6.5.18.0 - 6.5.22.0)
Installare manualmente le correzioni
Critico
AEM 6.5 Forms su JEE Service Pack 17 (6.5.17.0) o versioni precedenti
Esegui l’aggiornamento a una versione del Service Pack supportata, quindi applica i passaggi di mitigazione consigliati per la nuova versione
Non interessato
AEM Forms su OSGi, Workbench, Cloud Service
Nessuna azione richiesta

Vulnerabilità risolte:

  • Esecuzione di codice remoto (CVE-2025-49533)
  • Problemi di sicurezza della configurazione (CVE-2025-54253)
  • Elaborazione XXE (XML External Entity) (CVE-2025-54254)

Panoramica

Che cosa è interessato

Vulnerabilità
Impatto
Componenti interessati
CVE-2025-49533: Esecuzione codice remoto
Esecuzione di codice non autenticato in GetDocumentServlet
AEM 6.5 Forms su JEE Service Pack 23 (6.5.23.0) e versioni precedenti
CVE-2025-54253: problemi di configurazione
Avvia la modalità di sviluppo abilitata nell’interfaccia di amministrazione
AEM 6.5 Forms su JEE Service Pack 23 (6.5.23.0) e versioni precedenti
CVE-2025-54254: Elaborazione XXE
Il modulo Document Security consente l’accesso non autorizzato ai file
AEM 6.5 Forms su JEE Service Pack 23 (6.5.23.0) e versioni precedenti

Cosa non viene interessato

  • Experience Manager Forms Workbench (tutte le versioni)
  • Experience Manager Forms su OSGi (tutte le versioni)
  • Experience Manager Forms as a Cloud Service

Opzioni di risoluzione

Prima di iniziare

Prima di apportare qualsiasi modifica, eseguire una copia di backup del file EAR o del file DSC che si sta per modificare o aggiornare:

  • Individuare il file EAR o DSC originale nella directory di distribuzione.
  • Copiare il file in un percorso di backup protetto all'esterno della directory di distribuzione.
  • Prima di procedere con gli aggiornamenti, verificare che il backup sia completo e accessibile.

Questa precauzione ti consente di ripristinare lo stato originale nel caso in cui si verifichino problemi durante il processo di aggiornamento.

Opzione 1: (per gli utenti nella versione 6.5.23.0) installare l'aggiornamento rapido più recente

  1. Scarica l'aggiornamento rapido per 6.5.23.0.

  2. Segui le istruzioni di installazione hotfix/patch standard

  3. Se utilizzi Document Security (precedentemente Rights Management) su IBM WebSphere o Oracle WebLogic, imposta la seguente proprietà di sistema Java (argomento JVM) prima di avviare il server AEM Forms:

    code language-none 
    -Dcom.adobe.forms.jee.services.allowDoctypeDeclaration=true

  4. Riavvia il server applicazioni

Opzione 2: (per gli utenti su 6.5.18.0 - 6.5.22.0) Installazione manuale degli hotfix

Installazione manuale hotfix per 6.5.18.0 tramite 6.5.22.0

Passaggio 1: scarica ed estrai il pacchetto Hotfix

Passaggio 2: passare alla cartella della versione corretta

  • In base alla versione del Service Pack installata nel tuo ambiente, vai alla cartella corrispondente.

    Esempio per Service Pack 20 la cartella è:

    code language-none 
    <extracted-hotfix>/SP20/

Passaggio 3: individuare la directory di distribuzione

  • Nel server AEM Forms su JEE, vai a:

    code language-none 
    [AEM installation directory]/deploy

    Esempio: adobe/adobe-experience-manager-forms/deploy

Passaggio 4: aggiornare e sostituire i file EAR

tabs
JBoss

  1. Apri adobe-core-jboss.ear e sostituisci adminui.war con

    code language-none 
    adobe-xxe-configuration-hotfix/SP[version]/jboss/adminui.war

    Ad esempio adobe-xxe-configuration-hotfix/SP20/jboss/adminui.war

  2. All'interno di adobe-core-jboss.ear, passare alla cartella lib/ e sostituire adobe-uisupport.jar con:

    code language-none 
    adobe-xxe-configuration-hotfix/SP[version]/adobe-uisupport.jar

    Ad esempio adobe-xxe-configuration-hotfix/SP20/adobe-uisupport.jar

  3. Salvare l'EAR. Assicurati che le modifiche siano salvate correttamente.

  4. Sostituisci adobe-edcserver-jboss.ear con

    code language-none 
    adobe-xxe-configuration-hotfix/SP[version]/jboss/adobe-edcserver-jboss.ear

    Ad esempio adobe-xxe-configuration-hotfix/SP20/jboss/adobe-edcserver-jboss.ear

  5. Sostituisci adobe-forms-jboss.ear con

    code language-none 
    adobe-xxe-configuration-hotfix/SP[version]/jboss/adobe-forms-jboss.ear

    Ad esempio adobe-xxe-configuration-hotfix/SP20/jboss/adobe-forms-jboss.ear
WebLogic

  1. Apri adobe-core-weblogic.ear e sostituisci adminui.war con

    code language-none 
    adobe-xxe-configuration-hotfix/SP[version]/weblogic/adminui.war

    Ad esempio adobe-xxe-configuration-hotfix/SP20/weblogic/adminui.war

  2. All'interno di adobe-core-weblogic.ear, sostituisci adobe-uisupport.jar con:

    code language-none 
    adobe-xxe-configuration-hotfix/SP[version]/adobe-uisupport.jar

    Ad esempio adobe-xxe-configuration-hotfix/SP20/adobe-uisupport.jar

  3. Salvare l'EAR. Assicurati che le modifiche siano salvate correttamente.

  4. Sostituisci adobe-edcserver-weblogic.ear con

    code language-none 
    adobe-xxe-configuration-hotfix/SP[version]/weblogic/adobe-edcserver-weblogic.ear

    Ad esempio adobe-xxe-configuration-hotfix/SP20/weblogic/adobe-edcserver-weblogic.ear

  5. Sostituisci adobe-forms-weblogic.ear con

    code language-none 
    adobe-xxe-configuration-hotfix/SP[version]/weblogic/adobe-forms-weblogic.ear

    Ad esempio adobe-xxe-configuration-hotfix/SP20/weblogic/adobe-forms-weblogic.ear
WebSphere

  1. Apri adobe-core-websphere.ear e sostituisci adminui.war con

    code language-none 
    adobe-xxe-configuration-hotfix/SP[version]/websphere/adminui.war

    Ad esempio adobe-xxe-configuration-hotfix/SP20/websphere/adminui.war

  2. All'interno di adobe-core-websphere.ear, sostituisci adobe-uisupport.jar con:

    code language-none 
    adobe-xxe-configuration-hotfix/SP[version]/adobe-uisupport.jar

    Ad esempio adobe-xxe-configuration-hotfix/SP20/adobe-uisupport.jar

  3. Salvare l'EAR. Assicurati che le modifiche siano salvate correttamente.

  4. Sostituisci adobe-edcserver-websphere.ear con

    code language-none 
    adobe-xxe-configuration-hotfix/SP[version]/websphere/adobe-edcserver-websphere.ear

    Ad esempio adobe-xxe-configuration-hotfix/SP20/websphere/adobe-edcserver-websphere.ear

  5. Sostituisci adobe-forms-websphere.ear con

    code language-none 
    adobe-xxe-configuration-hotfix/SP[version]/websphere/adobe-forms-websphere.ear

    Ad esempio adobe-xxe-configuration-hotfix/SP20/websphere/adobe-forms-websphere.ear

Passaggio 5: aggiorna adobe-rightsmanagement-<appserver>-dsc.jarfile con

code language-none 
adobe-xxe-configuration-hotfix/SP[version]/<appserver>/adobe-rightsmanagement-<appserver>-dsc.jar

Ad esempio adobe-xxe-configuration-hotfix/SP20/jboss/adobe-rightsmanagement-jboss-dsc.jar

Passaggio 6: configurazione aggiuntiva per Document Security su WebSphere e WebLogic:

Se utilizzi Document Security (precedentemente Rights Management), imposta la seguente proprietà di sistema Java (argomento JVM) prima di avviare il server AEM Forms:

code language-none 
-Dcom.adobe.forms.jee.services.allowDoctypeDeclaration=true

Passaggio 7: rieseguire Configuration Manager

  • Avvia Configuration Manager per ridistribuire l’EAR aggiornato e applicare l’hotfix

Opzione 3: percorso di aggiornamento per gli utenti di 6.5.17.0 e versioni precedenti

  1. Passare a una versione del Service Pack supportata
  2. Segui le opzioni 1 o 2 di cui sopra in base alla nuova versione

Riferimenti

recommendation-more-help
19ffd973-7af2-44d0-84b5-d547b0dffee2