Vulnerabilidades de Adobe AEM son explotadas; CISA las añade al KEV

Adobe ha corregido recientemente dos vulnerabilidades críticas en su producto Experience Manager (AEM), incluida una de máxima severidad que permite a actores maliciosos ejecutar código arbitrario sin interacción del usuario.

Aunque Adobe afirmó no estar al tanto de explotaciones activas, se han observado pruebas de concepto (PoC) en circulación. Además, la Agencia de Seguridad Cibernética e Infraestructura de EE. UU. (CISA) ha añadido estas vulnerabilidades, identificadas como CVE-2025-54253 y CVE-2025-54254, al KEV (catálogo de vulnerabilidades explotadas conocidas), confirmando su uso en ataques reales.

Se requiere que las agencias federales apliquen los parches antes del 5 de noviembre, y se insta al sector privado a hacer lo mismo debido al riesgo generalizado. Adobe Experience Manager es un sistema de gestión de contenidos a nivel empresarial utilizado para construir y gestionar sitios web, aplicaciones móviles y experiencias digitales.