DocumentatieAEM 6.5Handboek

Beperkende RCE (CVE-2025-49533), standaard-ontwikkelmodus configuratie (CVE-2025-54253), XXE (CVE-2025-54254) en kwetsbaarheden voor AEM Forms op JEE mitigating-xxe-configuration-rce-vulnerabilities-aem-forms

Last update: Thu Aug 14 2025 00:00:00 GMT+0000 (Coordinated Universal Time)
  • Van toepassing op:
  • Experience Manager 6.5

Gemaakt voor:

  • Beheerder

Snelle naslag

Niveau van de Gevolgen
beïnvloede Versies
Aanbevolen Actie
Kritiek
AEM 6.5 Forms on JEE Service Pack 23 (6.5.23.0)
installeer recentste hotfix
Kritiek
AEM 6.5 Forms op JEE Service Pack 18 tot 22 (6.5.18.0 - 6.5.22.0)
installeer manueel de moeilijke situaties
Kritiek
AEM 6.5 Forms on JEE Service Pack 17 (6.5.17.0) of eerder
Voer een upgrade uit naar een ondersteunde versie van Service Pack en pas vervolgens de aanbevolen stappen voor het beperken van uw nieuwe versie toe
niet Beïnvloed
AEM Forms op OSGi, Workbench, Cloud Service
Geen actie vereist

Geadresseerde Vulnerabilities:

  • Uitvoering van externe code (CVE-2025-49533)
  • Configuratiebeveiligingsproblemen (CVE-2025-54253)
  • Verwerking externe entiteit (XXE) in XML (CVE-2025-54254)

Overzicht

Betrokken functies

Kwetsbaarheid
Gevolgen
Betrokken onderdelen
CVE-2025-49533: De Verre Uitvoering van de Code
Niet-geverifieerde code-uitvoering in GetDocumentServlet
AEM 6.5 Forms on JEE Service Pack 23 (6.5.23.0) en eerder
CVE-2025-54253: De Problemen van de configuratie
Strues ontwikkelingsmodus ingeschakeld in admin UI
AEM 6.5 Forms on JEE Service Pack 23 (6.5.23.0) en eerder
CVE-2025-54254: XXE-verwerking
De module Documentbeveiliging biedt ongeoorloofde toegang tot bestanden
AEM 6.5 Forms on JEE Service Pack 23 (6.5.23.0) en eerder

Wat is niet van invloed

  • Experience Manager Forms Workbench (alle versies)
  • Experience Manager Forms op OSGi (alle versies)
  • Experience Manager Forms as a Cloud Service

Opties voor resolutie

Voordat u begint

Maak een back-up van het EAR- of DSC-bestand dat u wilt wijzigen of bijwerken voordat u wijzigingen aanbrengt:

  • Zoek het oorspronkelijke EAR- of DSC-bestand in de implementatiemap.
  • Kopieer het bestand naar een beveiligde back-uplocatie buiten de implementatiemap.
  • Zorg ervoor dat de back-up volledig en toegankelijk is voordat u verdergaat met updates.

Met deze voorzorg kunt u de oorspronkelijke staat herstellen voor het geval u tijdens het updateproces problemen ondervindt.

Optie 1: (Voor gebruikers op versie 6.5.23.0) Nieuwste hotfix installeren

  1. Download hotfix voor 6.5.23.0.

  2. Volg standaard hotfix/flardinstallatie instructies

  3. Als u Documentbeveiliging (voorheen Rights Management) gebruikt op IBM WebSphere of Oracle WebLogic, stelt u de volgende Java-systeemeigenschap (JVM-argument) in voordat u de AEM Forms-server start:

    code language-none 
    -Dcom.adobe.forms.jee.services.allowDoctypeDeclaration=true

  4. De toepassingsserver opnieuw starten

Optie 2: (Voor gebruikers met 6.5.18.0 - 6.5.22.0) Handmatige hotfix-installatie

Handmatige hotfix-installatie voor 6.5.18.0 via 6.5.22.0

Stap 1: De download en trekt het Hotfix Pakket uit

Stap 2: Navigeer aan de Correcte Omslag van de Versie

  • Op basis van de versie Service Pack die op uw omgeving is geïnstalleerd, gaat u naar de overeenkomende map.

    Voorbeeld voor Service Pack 20 is de map:

    code language-none 
    <extracted-hotfix>/SP20/

Stap 3: Bepaal de plaats van de Folder van de Plaatsing

  • Ga op uw AEM Forms op de JEE-server naar:

    code language-none 
    [AEM installation directory]/deploy

    Voorbeeld: adobe/adobe-experience-manager-forms/deploy

Stap 4: Werk en vervang de dossiers van het EAR bij

tabs
JBoss

  1. adobe-core-jboss.ear openen en adminui.war vervangen door

    code language-none 
    adobe-xxe-configuration-hotfix/SP[version]/jboss/adminui.war

    Bijvoorbeeld: adobe-xxe-configuration-hotfix/SP20/jboss/adminui.war

  2. Ga in de adobe-core-jboss.ear naar de lib/ map en vervang adobe-uisupport.jar door:

    code language-none 
    adobe-xxe-configuration-hotfix/SP[version]/adobe-uisupport.jar

    Bijvoorbeeld: adobe-xxe-configuration-hotfix/SP20/adobe-uisupport.jar

  3. Sla het EAU op. Controleer of de wijzigingen correct zijn opgeslagen.

  4. adobe-edcserver-jboss.ear vervangen door

    code language-none 
    adobe-xxe-configuration-hotfix/SP[version]/jboss/adobe-edcserver-jboss.ear

    Bijvoorbeeld: adobe-xxe-configuration-hotfix/SP20/jboss/adobe-edcserver-jboss.ear

  5. adobe-forms-jboss.ear vervangen door

    code language-none 
    adobe-xxe-configuration-hotfix/SP[version]/jboss/adobe-forms-jboss.ear

    Bijvoorbeeld: adobe-xxe-configuration-hotfix/SP20/jboss/adobe-forms-jboss.ear
WebLogic

  1. adobe-core-weblogic.ear openen en adminui.war vervangen door

    code language-none 
    adobe-xxe-configuration-hotfix/SP[version]/weblogic/adminui.war

    Bijvoorbeeld: adobe-xxe-configuration-hotfix/SP20/weblogic/adminui.war

  2. In de adobe-core-weblogic.ear vervangt u adobe-uisupport.jar door:

    code language-none 
    adobe-xxe-configuration-hotfix/SP[version]/adobe-uisupport.jar

    Bijvoorbeeld: adobe-xxe-configuration-hotfix/SP20/adobe-uisupport.jar

  3. Sla het EAU op. Controleer of de wijzigingen correct zijn opgeslagen.

  4. adobe-edcserver-weblogic.ear vervangen door

    code language-none 
    adobe-xxe-configuration-hotfix/SP[version]/weblogic/adobe-edcserver-weblogic.ear

    Bijvoorbeeld: adobe-xxe-configuration-hotfix/SP20/weblogic/adobe-edcserver-weblogic.ear

  5. adobe-forms-weblogic.ear vervangen door

    code language-none 
    adobe-xxe-configuration-hotfix/SP[version]/weblogic/adobe-forms-weblogic.ear

    Bijvoorbeeld: adobe-xxe-configuration-hotfix/SP20/weblogic/adobe-forms-weblogic.ear
WebSphere

  1. adobe-core-websphere.ear openen en adminui.war vervangen door

    code language-none 
    adobe-xxe-configuration-hotfix/SP[version]/websphere/adminui.war

    Bijvoorbeeld: adobe-xxe-configuration-hotfix/SP20/websphere/adminui.war

  2. In de adobe-core-websphere.ear vervangt u adobe-uisupport.jar door:

    code language-none 
    adobe-xxe-configuration-hotfix/SP[version]/adobe-uisupport.jar

    Bijvoorbeeld: adobe-xxe-configuration-hotfix/SP20/adobe-uisupport.jar

  3. Sla het EAU op. Controleer of de wijzigingen correct zijn opgeslagen.

  4. adobe-edcserver-websphere.ear vervangen door

    code language-none 
    adobe-xxe-configuration-hotfix/SP[version]/websphere/adobe-edcserver-websphere.ear

    Bijvoorbeeld: adobe-xxe-configuration-hotfix/SP20/websphere/adobe-edcserver-websphere.ear

  5. adobe-forms-websphere.ear vervangen door

    code language-none 
    adobe-xxe-configuration-hotfix/SP[version]/websphere/adobe-forms-websphere.ear

    Bijvoorbeeld: adobe-xxe-configuration-hotfix/SP20/websphere/adobe-forms-websphere.ear

Stap 5: Update adobe-rightsmanagement-<appserver>-dsc.jar dossier met

code language-none 
adobe-xxe-configuration-hotfix/SP[version]/<appserver>/adobe-rightsmanagement-<appserver>-dsc.jar

Bijvoorbeeld: adobe-xxe-configuration-hotfix/SP20/jboss/adobe-rightsmanagement-jboss-dsc.jar

Stap 6: De extra Configuratie voor de Veiligheid van het Document op WebSphere en WebLogic:

Als u Documentbeveiliging gebruikt (voorheen Rights Management), stelt u de volgende Java-systeemeigenschap (JVM-argument) in voordat u de AEM Forms-server start:

code language-none 
-Dcom.adobe.forms.jee.services.allowDoctypeDeclaration=true

Stap 7: Voer de Manager van de Configuratie opnieuw in

  • Start de configuratiemanager om het bijgewerkte EAR opnieuw te implementeren en de hotfix toe te passen

Optie 3: (Voor gebruikers op 6.5.17.0 en eerder) Upgradepad

  1. Upgrade naar een ondersteunde versie van Service Pack
  2. Optie 1 of Optie 2 volgen op basis van uw nieuwe versie

Verwijzingen

recommendation-more-help
19ffd973-7af2-44d0-84b5-d547b0dffee2