Adobe telah merilis pembaruan keamanan darurat untuk mengatasi dua kerentanan zero-day pada produk Adobe Experience Manager (AEM) Forms, menyusul beredarnya kode bukti konsep (proof-of-concept/PoC) secara publik yang meningkatkan risiko eksploitasi.
๐ Zero-Day Berbahaya di AEM Forms
Kedua kerentanan ini dinilai kritis karena memungkinkan penyerang tidak terautentikasi melakukan serangan remote code execution (RCE) dan pengungkapan informasi sensitif. Masalah ditemukan pada modul AEM Forms JEE (Java Enterprise Edition), yang biasa digunakan organisasi untuk menangani formulir online, otomasi dokumen, dan pemrosesan data pelanggan.
Rincian dua celah yang ditambal:
- CVE-2024-20767 โ Improper Input Validation (CVSS 9.8)
- CVE-2024-20768 โ Insecure Direct Object References (CVSS 9.8)
Kedua kerentanan ini telah mendapatkan skor CVSS hampir maksimum, menunjukkan dampak potensial yang sangat tinggi bila dieksploitasi.
๐ฃ PoC Sudah Beredar
Yang membuat situasi semakin genting adalah dirilisnya PoC eksploit oleh peneliti keamanan di platform publik. Hal ini secara efektif membuka peluang bagi pelaku ancaman untuk mulai menargetkan server AEM Forms yang belum diperbarui.
๐ Versi yang Terdampak dan Solusi
Kerentanan ini memengaruhi AEM Forms JEE versi 6.5.20 dan sebelumnya, termasuk beberapa patch kumulatif (Service Pack). Adobe telah merilis perbaikan melalui update 6.5.21.0 atau yang lebih tinggi.
Administrator dan tim TI yang menggunakan AEM Forms di lingkungan mereka sangat disarankan untuk segera menerapkan pembaruan ini, terutama jika instance AEM terpapar ke internet atau digunakan dalam sistem yang menangani data sensitif pengguna.
๐ Langkah Mitigasi Tambahan
Selain menerapkan patch, Adobe menyarankan langkah-langkah berikut:
- Batasi akses publik ke endpoint administratif AEM
- Terapkan WAF (Web Application Firewall) untuk memblokir payload eksploitasi umum
- Pantau log aplikasi untuk deteksi dini aktivitas mencurigakan
- Segera isolasi sistem jika diduga telah dieksploitasi
โ ๏ธ Dengan tingginya tingkat risiko dan sudah tersedianya PoC publik, organisasi yang menunda pembaruan berpotensi menghadapi kompromi data serius dalam waktu dekat.
Sumber: Adobe issues emergency fixes for AEM Forms zero-days after PoCs released