Tiga vulnerability berbahaya di Adobe Experience Manager Forms akhirnya dipatch setelah Adobe gagal merespons responsible disclosure sejak April 2025

Adobe kembali menjadi sorotan komunitas keamanan siber setelah terungkap bahwa perusahaan perangkat lunak raksasa ini gagal merespons laporan kerentanan kritis yang telah disampaikan peneliti keamanan sejak April 2025. Ketidakresponsifan Adobe dalam menangani celah keamanan dengan skor maksimal CVSS 10.0 ini dinilai membahayakan jutaan pengguna di seluruh dunia.

Tiga Kerentanan Berbahaya Terungkap

Adobe Experience Manager Forms ditemukan memiliki tiga kerentanan serius yang kini telah diberi identifikasi:

• CVE-2025-54253: Skor CVSS 10.0 (Kritis Maksimal)
• CVE-2025-49533: Skor CVSS 9.8 (Kritis Tinggi)
• CVE-2025-54254: Skor CVSS 8.6 (Tinggi)

Kerentanan utama berupa misconfiguration yang memungkinkan penyerang melakukan arbitrary code execution (eksekusi kode sembarang). Yang menjadikan ancaman ini sangat berbahaya adalah:

• Tidak memerlukan interaksi pengguna untuk dieksploitasi
• Penyerang dapat bypass mekanisme keamanan dengan mudah
• Scope changed, artinya dampak dapat meluas ke sistem lain
• Eksploitasi dapat dilakukan secara remote tanpa akses fisik

Kontroversi Responsible Disclosure

Aspek paling mengecewakan dari insiden ini adalah kegagalan Adobe dalam menjalankan responsible disclosure. Kronologi kejadian:

April 2025

• Peneliti keamanan melaporkan kerentanan kritis kepada Adobe
• Laporan mencakup bukti konsep (PoC) dan detail teknis lengkap

Bulan-bulan Berikutnya

• Adobe tidak memberikan respons terhadap laporan
• Peneliti menunggu feedback untuk koordinasi patch
• Tidak ada komunikasi dari tim keamanan Adobe

Agustus 2025

• Peneliti memutuskan untuk go public karena tidak ada respons
• Kerentanan dipublikasikan dengan advisory lengkap
• Adobe baru merilis patch darurat setelah publikasi

Dampak dan Ancaman Potensial

Kerentanan dengan skor CVSS 10.0 ini dapat mengakibatkan:

• Pengambilalihan penuh sistem Adobe Experience Manager Forms
• Akses tidak sah ke database dan informasi sensitif pelanggan
• Pemasangan backdoor untuk akses jangka panjang
• Lateral movement ke sistem internal perusahaan
• Data breach skala besar pada organisasi yang menggunakan AEM Forms

Ancaman ini sangat serius mengingat Adobe Experience Manager Forms digunakan oleh ribuan perusahaan dan organisasi pemerintah untuk mengelola formulir digital dan proses bisnis kritis.

Kritik Terhadap Adobe

Komunitas keamanan siber mengecam keras sikap Adobe dalam insiden ini:

"Ketidakresponsifan Adobe terhadap kerentanan CVSS 10.0 menunjukkan kurangnya komitmen terhadap keamanan pengguna. Ini bukan hanya tentang patch yang terlambat, tapi tentang tanggung jawab moral perusahaan teknologi besar."

Para ahli menyoroti beberapa masalah:

• Gagal menghargai kontribusi peneliti keamanan independen
• Mengabaikan standar industri untuk responsible disclosure
• Membahayakan pengguna dengan menunda patch yang kritis
• Merusak kepercayaan komunitas keamanan siber

Langkah Mitigasi Darurat

Untuk Pengguna Adobe Experience Manager Forms:

Segera Update:

• Update ke Experience Manager Forms on JEE versi 6.5.0-0108
• Lakukan pengujian menyeluruh setelah update
• Monitor log sistem untuk aktivitas mencurigakan

Langkah Keamanan Tambahan:

• Implementasikan Web Application Firewall (WAF)
• Lakukan network segmentation untuk isolasi AEM Forms
• Aktifkan logging dan monitoring yang komprehensif
• Review konfigurasi keamanan secara menyeluruh

Untuk IT Administrator:

• Lakukan vulnerability assessment pada seluruh infrastruktur AEM
• Implementasikan access control yang ketat
• Buat backup sistem sebelum melakukan update
• Siapkan incident response plan jika terjadi kompromi

Rekomendasi Jangka Panjang

Mengingat sikap Adobe yang dinilai tidak responsif, para ahli memberikan rekomendasi:

Evaluasi Vendor:

• Pertimbangkan alternatif Adobe Experience Manager Forms
• Evaluasi vendor berdasarkan track record keamanan
• Prioritaskan vendor yang responsif terhadap security disclosure

Peningkatan Security Posture:

• Implementasikan zero-trust architecture
• Lakukan regular penetration testing
• Gunakan threat intelligence untuk monitoring ancaman
• Terapkan defense-in-depth strategy

Advisory dan Referensi Resmi

Informasi lengkap mengenai kerentanan ini dapat diakses melalui:

• Official Advisory: Adobe Security Bulletin APSB25-82
• National Vulnerability Database:
  • CVE-2025-54253
  • CVE-2025-49533
  • CVE-2025-54254
• EU Vulnerability Database:
  • EUVD-2025-23647
  • EUVD-2025-20752
  • EUVD-2025-23638