缓解JEE上AEM Forms的RCE (CVE-2025-49533)、Struts开发模式配置(CVE-2025-54253)、XXE (CVE-2025-54254)和漏洞 mitigating-xxe-configuration-rce-vulnerabilities-aem-forms
快速参考
已解决的 漏洞:
- 远程代码执行(CVE-2025-49533)
- 配置安全问题(CVE-2025-54253)
- XML外部实体(XXE)处理(CVE-2025-54254)
概述
受影响的内容
未受影响的内容
- Experience Manager Forms Workbench(所有版本)
- OSGi上的Experience Manager Forms(所有版本)
- Experience Manager Forms as a Cloud Service
分辨率选项
开始之前
在进行任何更改之前,请备份要修改或更新的EAR文件或DSC文件:
- 在部署目录中找到原始EAR或DSC文件。
- 将文件复制到部署目录之外的安全备份位置。
- 在继续进行任何更新之前,请确保备份完整且可访问。
如果您在更新过程中遇到任何问题,可使用此预防措施恢复原始状态。
选项1: (对于版本6.5.23.0的用户)安装最新的修补程序
-
下载6.5.23.0的修补程序。
-
按照标准的修补程序/修补程序安装说明操作
-
如果您在IBM WebSphere或Oracle WebLogic上使用Document Security(以前称为Rights Management),请在启动AEM Forms服务器之前设置以下Java系统属性(JVM参数):
code language-none -Dcom.adobe.forms.jee.services.allowDoctypeDeclaration=true
-
重新启动应用程序服务器
选项2: (对于6.5.18.0 - 6.5.22.0上的用户)手动安装修补程序
步骤1:下载并解压缩修补程序包
- 从Adobe软件分发门户下载适用于 - 6.5.22.6.5.18.0的修补程序
- 本地提取
步骤2:导航到正确的版本文件夹
-
根据环境中安装的Service Pack版本,转到匹配的文件夹。
对于Service Pack 20,文件夹为:
code language-none <extracted-hotfix>/SP20/
步骤3:找到部署目录
-
在JEE服务器上的AEM Forms上,转到:
code language-none [AEM installation directory]/deploy
示例:
adobe/adobe-experience-manager-forms/deploy
步骤4:更新和替换EAR文件
tabs | |||||||||
---|---|---|---|---|---|---|---|---|---|
JBoss |
|
||||||||
WebLogic |
|
||||||||
WebSphere |
|
步骤5:使用adobe-rightsmanagement-<appserver>-dsc.jar
更新 文件
code language-none |
---|
|
例如,adobe-xxe-configuration-hotfix/SP20/jboss/adobe-rightsmanagement-jboss-dsc.jar
步骤6: WebSphere和WebLogic上的Document Security的其他配置:
如果您使用的是Document Security(以前称为Rights Management),请在启动AEM Forms服务器之前设置以下Java系统属性(JVM参数):
code language-none |
---|
|
步骤7:重新运行配置管理器
- 启动配置管理器以重新部署更新的EAR并应用修补程序