DokumentationAEM 6.5Användarhandbok

Mitigating RCE (CVE-2025-49533), Struts Dev Mode Configuration (CVE-2025-54253), XXE (CVE-2025-54254) och Vulnerabilities for AEM Forms on JEE mitigating-xxe-configuration-rce-vulnerabilities-aem-forms

Last update: Thu Aug 14 2025 00:00:00 GMT+0000 (Coordinated Universal Time)
  • Gäller:
  • Experience Manager 6.5

Skapat för:

  • Administratör

Snabbreferens

Effektnivå
Versioner som påverkas
Rekommenderad åtgärd
Kritisk
AEM 6.5 Forms på JEE Service Pack 23 (6.5.23.0)
Installera den senaste snabbkorrigeringen
Kritisk
AEM 6.5 Forms i JEE Service Pack 18 till 22 (6.5.18.0 - 6.5.22.0)
Installera korrigeringarna manuellt
Kritisk
AEM 6.5 Forms i JEE Service Pack 17 (6.5.17.0) eller tidigare
Uppgradera till en Service Pack-version som stöds och använd sedan de rekommenderade reduceringsstegen för den nya versionen
Påverkas inte
AEM Forms on OSGi, Workbench, Cloud Service
Ingen åtgärd krävs

Säkerhetsluckor som har åtgärdats:

  • Fjärrexekvering av kod (CVE-2025-49533)
  • Konfigurationssäkerhetsproblem (CVE-2025-54253)
  • XML-bearbetning av extern enhet (XXE) (CVE-2025-54254)

Ökning

Vad som påverkas

Sårbarhet
Effekt
Komponenter som påverkas
CVE-2025-49533: Fjärrexekvering av kod
Oautentiserad kodkörning i GetDocumentServlet
AEM 6.5 Forms i JEE Service Pack 23 (6.5.23.0) och tidigare
CVE-2025-54253: Konfigurationsproblem
Stänger utvecklingsläget som är aktiverat i administratörsgränssnittet
AEM 6.5 Forms i JEE Service Pack 23 (6.5.23.0) och tidigare
CVE-2025-54254: XXE-bearbetning
Dokumentsäkerhetsmodulen ger obehörig åtkomst
AEM 6.5 Forms i JEE Service Pack 23 (6.5.23.0) och tidigare

Vad som inte påverkas

  • Experience Manager Forms Workbench (alla versioner)
  • Experience Manager Forms on OSGi (alla versioner)
  • Experience Manager Forms as a Cloud Service

Upplösningsalternativ

Innan du börjar

Innan du gör några ändringar bör du göra en säkerhetskopia av den EAR-fil eller DSC-fil som du håller på att ändra eller uppdatera:

  • Leta reda på den ursprungliga EAR- eller DSC-filen i din distributionskatalog.
  • Kopiera filen till en säker plats för säkerhetskopiering utanför distributionskatalogen.
  • Kontrollera att säkerhetskopian är fullständig och tillgänglig innan du fortsätter med uppdateringarna.

Med den här säkerhetsfunktionen kan du återställa det ursprungliga läget om du stöter på problem under uppdateringsprocessen.

Alternativ 1: (För användare i version 6.5.23.0) Installera den senaste snabbkorrigeringen

  1. Hämta snabbkorrigeringen för 6.5.23.0.

  2. Följ standardinstruktionerna för installation av snabbkorrigering/korrigering

  3. Om du använder dokumentsäkerhet (tidigare Rights Management) på IBM WebSphere eller Oracle WebLogic anger du följande Java-systemegenskap (JVM-argument) innan du startar AEM Forms-servern:

    code language-none 
    -Dcom.adobe.forms.jee.services.allowDoctypeDeclaration=true

  4. Starta om programservern

Alternativ 2: (För användare på 6.5.18.0 - 6.5.22.0) Manuell Hotfix-installation

Manuell snabbkorrigering för 6.5.18.0 till 6.5.22.0

Steg 1: Hämta och extrahera snabbkorrigeringspaketet

Steg 2: Navigera till rätt versionsmapp

  • Gå till den matchande mappen baserat på vilken Service Pack-version som är installerad i din miljö.

    Exempel för Service Pack 20 är:

    code language-none 
    <extracted-hotfix>/SP20/

Steg 3: Leta reda på distributionskatalogen

  • På din AEM Forms på JEE-server går du till:

    code language-none 
    [AEM installation directory]/deploy

    Exempel: adobe/adobe-experience-manager-forms/deploy

Steg 4: Uppdatera och ersätt EAR-filerna

tabs
JBoss

  1. Öppna adobe-core-jboss.ear och ersätt adminui.war med

    code language-none 
    adobe-xxe-configuration-hotfix/SP[version]/jboss/adminui.war

    Exempel: adobe-xxe-configuration-hotfix/SP20/jboss/adminui.war

  2. I adobe-core-jboss.ear går du till mappen lib/ och ersätter adobe-uisupport.jar med:

    code language-none 
    adobe-xxe-configuration-hotfix/SP[version]/adobe-uisupport.jar

    Exempel: adobe-xxe-configuration-hotfix/SP20/adobe-uisupport.jar

  3. Spara på EAR. Se till att ändringarna sparas korrekt.

  4. Ersätt adobe-edcserver-jboss.ear med

    code language-none 
    adobe-xxe-configuration-hotfix/SP[version]/jboss/adobe-edcserver-jboss.ear

    Exempel: adobe-xxe-configuration-hotfix/SP20/jboss/adobe-edcserver-jboss.ear

  5. Ersätt adobe-forms-jboss.ear med

    code language-none 
    adobe-xxe-configuration-hotfix/SP[version]/jboss/adobe-forms-jboss.ear

    Exempel: adobe-xxe-configuration-hotfix/SP20/jboss/adobe-forms-jboss.ear
WebLogic

  1. Öppna adobe-core-weblogic.ear och ersätt adminui.war med

    code language-none 
    adobe-xxe-configuration-hotfix/SP[version]/weblogic/adminui.war

    Exempel: adobe-xxe-configuration-hotfix/SP20/weblogic/adminui.war

  2. I adobe-core-weblogic.ear ersätter du adobe-uisupport.jar med:

    code language-none 
    adobe-xxe-configuration-hotfix/SP[version]/adobe-uisupport.jar

    Exempel: adobe-xxe-configuration-hotfix/SP20/adobe-uisupport.jar

  3. Spara på EAR. Se till att ändringarna sparas korrekt.

  4. Ersätt adobe-edcserver-weblogic.ear med

    code language-none 
    adobe-xxe-configuration-hotfix/SP[version]/weblogic/adobe-edcserver-weblogic.ear

    Exempel: adobe-xxe-configuration-hotfix/SP20/weblogic/adobe-edcserver-weblogic.ear

  5. Ersätt adobe-forms-weblogic.ear med

    code language-none 
    adobe-xxe-configuration-hotfix/SP[version]/weblogic/adobe-forms-weblogic.ear

    Exempel: adobe-xxe-configuration-hotfix/SP20/weblogic/adobe-forms-weblogic.ear
WebSphere

  1. Öppna adobe-core-websphere.ear och ersätt adminui.war med

    code language-none 
    adobe-xxe-configuration-hotfix/SP[version]/websphere/adminui.war

    Exempel: adobe-xxe-configuration-hotfix/SP20/websphere/adminui.war

  2. I adobe-core-websphere.ear ersätter du adobe-uisupport.jar med:

    code language-none 
    adobe-xxe-configuration-hotfix/SP[version]/adobe-uisupport.jar

    Exempel: adobe-xxe-configuration-hotfix/SP20/adobe-uisupport.jar

  3. Spara på EAR. Se till att ändringarna sparas korrekt.

  4. Ersätt adobe-edcserver-websphere.ear med

    code language-none 
    adobe-xxe-configuration-hotfix/SP[version]/websphere/adobe-edcserver-websphere.ear

    Exempel: adobe-xxe-configuration-hotfix/SP20/websphere/adobe-edcserver-websphere.ear

  5. Ersätt adobe-forms-websphere.ear med

    code language-none 
    adobe-xxe-configuration-hotfix/SP[version]/websphere/adobe-forms-websphere.ear

    Exempel: adobe-xxe-configuration-hotfix/SP20/websphere/adobe-forms-websphere.ear

Steg 5: Uppdatera adobe-rightsmanagement-<appserver>-dsc.jarfilen med

code language-none 
adobe-xxe-configuration-hotfix/SP[version]/<appserver>/adobe-rightsmanagement-<appserver>-dsc.jar

Exempel: adobe-xxe-configuration-hotfix/SP20/jboss/adobe-rightsmanagement-jboss-dsc.jar

Steg 6: Ytterligare konfiguration för dokumentsäkerhet i WebSphere och WebLogic:

Om du använder Dokumentsäkerhet (tidigare Rights Management) anger du följande Java-systemegenskap (JVM-argument) innan du startar AEM Forms-servern:

code language-none 
-Dcom.adobe.forms.jee.services.allowDoctypeDeclaration=true

Steg 7: Kör Configuration Manager igen

  • Starta Configuration Manager för att omdistribuera den uppdaterade EAR-uppdateringen och tillämpa snabbkorrigeringen

Alternativ 3: (För användare på 6.5.17.0 och tidigare) Uppgraderingssökväg

  1. Uppgradera till en Service Pack-version som stöds
  2. Följ alternativ 1 eller alternativ 2 ovan baserat på den nya versionen

Referenser

recommendation-more-help
19ffd973-7af2-44d0-84b5-d547b0dffee2