Neue “Erfahrungen”: Adobe Experience Manager schafft es in die Hall of Shame

Die CISA hat am 15. Oktober 2025 eine kritische Sicherheitslücke in Adobe Experience Manager (AEM) in ihren Known Exploited Vulnerabilities (KEV)-Katalog aufgenommen. CVE-2025-54253 erlaubt Remote Code Execution (RCE) über eine fehlerhafte Konfiguration in der Administrationsoberfläche von AEM Forms on JEE — mit einem CVSS-Score von 10.0, der höchstmöglichen Bewertung.

Betroffene Versionen und Patch-Status

Betroffen sind AEM-Versionen 6.5.23.0 und älter. Adobe stellte bereits im August 2025 ein außerplanmäßiges Update bereit, nachdem ein Proof-of-Concept öffentlich geworden war. Mit der Aufnahme in den KEV-Katalog setzt die CISA nun eine verbindliche Patch-Frist bis zum 5. November 2025 für US-Bundesbehörden. Für alle anderen Organisationen gilt: Die aktive Ausnutzung ist bestätigt — Patchen ist keine Option, sondern Pflicht.

2.700+ produktive AEM-Installationen in Deutschland

Laut BuiltWith setzen über 2.700 produktive Websites in Deutschland auf AEM — darunter DAX-Konzerne aus der Automobil-, Industrie-, Energie- und Finanzbranche. Zu den bekannten Nutzern gehören BMW, Mercedes-Benz, Volkswagen, SAP, Allianz, Fresenius, E.ON, DHL, Toyota und Philips. Weitere 3.000+ Domains befinden sich in der Implementierungsphase — darunter Porsche SE.

Die Verbreitung macht AEM zu einem High-Value-Target: Ein einzelner Exploit kann potenziell tausende Unternehmen treffen.

AEM als Angriffsfläche: Mehr als ein CMS

Die Schwachstelle ist besonders kritisch, weil AEM in vielen Unternehmen nicht isoliert läuft. Als zentrale Content-Management-Plattform ist AEM typischerweise mit Backend-Systemen integriert:

  • SAP für Produktdaten und E-Commerce
  • Salesforce für Kundendaten und CRM
  • Azure AD / Entra ID für Authentifizierung
  • Interne APIs für Personalisierung und Analytics

Ein erfolgreicher RCE-Angriff auf AEM kann daher weit über die Website hinausgehen: vollständige Systemkompromittierung, Zugriff auf Backend-Daten und laterale Bewegung ins Unternehmensnetz sind realistische Szenarien.

Serie kritischer AEM-Schwachstellen

CVE-2025-54253 reiht sich in eine Serie kritischer AEM-Schwachstellen ein:

  • CVE-2025-49533: Server-Side Request Forgery (SSRF) in AEM
  • CVE-2025-54254: Authentifizierungs-Bypass in AEM Forms

Dass Adobe innerhalb weniger Monate mehrere kritische Schwachstellen in AEM patchen musste, deutet auf systematische Sicherheitsprobleme in der Plattform hin — und erhöht den Druck auf AEM-Betreiber, ihre Installationen regelmäßig zu aktualisieren und zu härten.

Handlungsempfehlungen

  • Sofort patchen: Alle AEM-Instanzen auf eine Version nach 6.5.23.0 aktualisieren
  • AEM Forms on JEE härten: Administrationsoberflächen dürfen nicht aus dem Internet erreichbar sein. Zugriff nur über VPN oder dedizierte Management-Netzwerke
  • Netzwerksegmentierung prüfen: AEM-Server von Backend-Systemen (SAP, CRM, AD) durch Firewalls und Zugriffsregeln trennen
  • Web Application Firewall: WAF-Regeln für bekannte AEM-Exploit-Pfade aktivieren
  • SIEM-Monitoring: AEM-Server-Logs auf verdächtige Anfragen an die Administrationsoberfläche, ungewöhnliche Prozesse und ausgehende Verbindungen überwachen
  • Compromise Assessment: Wenn AEM vor dem Patch aus dem Internet erreichbar war, auf Kompromittierungsindikatoren prüfen

J. Benjamin Espagné

Enterprise-CMS, Enterprise-Risiko – AEM als Einfallstor für großflächige Kompromittierungen

Die Dimension dieser Schwachstelle zeigt erneut, dass Enterprise-CMS-Plattformen längst zu strategischen Angriffszielen geworden sind. Ihre Integrationstiefe, modulare Struktur und komplexen Berechtigungssysteme machen sie zur perfekten Drehscheibe für Angriffe im industriellen Maßstab.

Unternehmen, die Adobe Experience Manager einsetzen, stehen vor einer Reihe zentraler Herausforderungen:

  1. Komplexe Update-Pflege: AEM-Instanzen sind oft tief integriert – Updates werden aus Angst vor Service-Unterbrechungen verzögert.

  2. Hohe Integrationsdichte: Schnittstellen zu CRM-, Identity- und ERP-Systemen eröffnen weitreichende Angriffspfade.

  3. Unzureichendes Patch-Monitoring: Viele Unternehmen wissen gar nicht, auf welcher exakten Version ihre AEM-Instanz läuft.

  4. Fehlende Code-Härtung: Default-Konfigurationen enthalten aktivierte Entwickler-Modi, Debugging-Schnittstellen oder ungeschützte Admin-UIs.

  5. Blindspot im Monitoring: Klassische EDR- oder SIEM-Systeme erfassen Web- und Java-basiertes Verhalten in AEM-Umgebungen nur oberflächlich.

  6. Lieferkettenrisiko: Agenturen und externe Integratoren verwalten oft produktive Systeme mit überhöhten Rechten.

Gerade für Konzerne mit globalem Markenauftritt kann ein Exploit in AEM fatale Folgen haben – vom Website-Defacement über Datendiebstahl bis zu Supply-Chain-Angriffen über gemeinsam genutzte CDN- oder Authentifizierungsdienste.

Was jetzt zu tun ist

Unternehmen sollten umgehend prüfen, ob sie betroffen sind – und zwar nicht nur auf System-, sondern auch auf Agentur- und Hosting-Ebene:

  • Version identifizieren: Nur AEM ≥ 6.5.0-0108 ist abgesichert.

  • Entwicklungs- und Admin-UIs härten: Struts-Entwicklungsmodus deaktivieren, Debug- und Test-Endpoints schließen.

  • Zugriffsrechte prüfen: Rollen und SSO-Tokens validieren, ungenutzte Konten sperren.

  • Monitoring ausbauen: RCE- und Code-Injection-Patterns in Logs korrelieren, AEM-spezifische Regeln in SIEM/MDR integrieren.

  • Externe Integratoren verpflichten: Agenturen und Dienstleister müssen eigene Patch-Nachweise erbringen.

Neosec unterstützt Unternehmen dabei, diese Anforderungen umzusetzen – durch Vulnerability Management, MDR-Integration und gezielte Web Application Threat Hunting-Programme. Besonders in hochintegrierten Enterprise-Umgebungen ist kontinuierliches Monitoring der einzige Weg, kritische CMS-Lücken zu erkennen, bevor sie ausgenutzt werden.

Die Erkenntnis: Ein CMS ist längst kein Marketing-Tool mehr, sondern ein sicherheitskritisches System.

CISA – Known Exploited Vulnerabilities Catalog (Oktober 2025) (abgerufen am 21.10.2025)
The Hacker News – CISA Flags Adobe AEM Flaw with Perfect 10.0 Score (abgerufen am 21.10.2025)
SecurityWeek – Exploited Adobe AEM Forms Vulnerability (abgerufen am 21.10.2025)
BuiltWith – Adobe Experience Manager usage in Germany (abgerufen am 21.10.2025)

[„Adobe Experience Manager“ und „AEM“ sind eingetragene Marken der Adobe Inc.]
[„CISA“ ist eine eingetragene Marke der Cybersecurity and Infrastructure Security Agency, U.S. Department of Homeland Security]

Sicherheitslücken schließen. Risiken senken. Jetzt handeln!

Unsere Experten zeigen Ihnen live, wie wir Angriffe erkennen, stoppen und Ihr Unternehmen schützen.

Blog

Aktuelle Sicherheitsereignisse