Experience Manager (AEM) Forms

Die Schwachstelle betrifft die Forms-Komponente von Adobe Experience Manager (AEM), einer Plattform zur Verwaltung von Web-Inhalten und digitalen Formularen. Ursache ist eine fehlerhafte Konfiguration, durch die sich vorhandene Sicherheitsmechanismen umgehen lassen. Auf diese Weise kann ein Angreifer beliebigen Code auf dem betroffenen System ausführen und so die Kontrolle über die Anwendung erlangen. Besonders problematisch: Der Angriff setzt keinerlei Benutzerinteraktion voraus, läuft also ohne Zutun eines berechtigten Anwenders ab. Zudem reicht die Wirkung über die ursprünglich kompromittierte Komponente hinaus und kann weitere, eigentlich abgeschottete Bereiche des Systems erfassen. Betroffen sind insbesondere AEM-Installationen, die in einer Java-Enterprise-Umgebung (JEE) betrieben werden. Da AEM Forms häufig für die Verarbeitung von Eingaben und Dokumenten exponiert ist, stellt eine solche Lücke einen unmittelbaren Angriffspunkt für die vollständige Übernahme der betroffenen Systeme dar.