Adobe heeft een noodpatch uitgebracht voor twee kritieke kwetsbaarheden in Experience Manager Forms en roept organisaties op die zo snel mogelijk te installeren. Voor de beveiligingslekken is proof-of-concept exploitcode op internet beschikbaar. Adobe Experience Manager (AEM) is software waarmee organisaties digitale formulieren kunnen creëren, beheren, publiceren en up-to-date houden en is te integreren met andere oplossingen van Adobe.

Onderzoekers van securitybedrijf Assetnote rapporteerden op 28 april drie kritieke kwetsbaarheden in Experience Manager Forms aan Adobe. Via de beveiligingslekken kan een ongeauthenticeerde aanvaller in het ergste geval op afstand code op het systeem uitvoeren. In juli kwam Adobe met een beveiligingsupdate voor één van de kwetsbaarheden (CVE-2025-49533). Het gaat om een Deserialization of Untrusted Data kwetsbaarheid die arbitrary code execution mogelijk maakt. De impact van dit lek is op een schaal van 1 tot en met 10 beoordeeld met een 9.8.

Assetnote geeft bedrijven die het over beveiligingslekken informeert 90 dagen de tijd om met een update te komen. Adobe kwam niet op tijd met een update en reageerde volgens Assetnote ook niet op het plan om de details van de overige twee kwetsbaarheden (CVE-2025-54254 en CVE-2025-54253) openbaar te maken. Daarop publiceerde het securitybedrijf op 29 juli de details, inclusief proof-of-concept exploitcode waarin wordt uitgelegd hoe de kwetsbaarheden zijn te misbruiken.

Via de beveiligingslekken kan een aanvaller willekeurige bestanden op het systeem lezen en wederom willekeurige code uitvoeren. CVE-2025-54254 heeft een impactscore van 8.6. De impact van CVE-2025-54253, een kwetsbaarheid die wordt omschreven als misconfiguratie, is beoordeeld met een 10.0. Adobe stelt dat het niet bekend is met misbruik van de kwetsbaarheden en roept organisaties op de beschikbaar gestelde update, versie 6.5.0-0108, zo snel mogelijk te installeren, waarbij het als voorbeeld binnen 72 uur geeft.