annuler

gear Paramètres Push

bars

Analyse d'une faille CMS : Adobe Experience Manager expose ses services internes - IT SOCIAL - Artia13 Actualité

chat   



Analyse d'une faille CMS : Adobe Experience Manager expose ses services internes - IT SOCIAL

Cédric Balcon-Hermand
04.11.2025

Adobe Experience Manager : Une faille SSRF expose des services internes

Mise à jour le 2025-11-04 08:53:00 : Une vulnérabilité dans Adobe Experience Manager permet à des attaquants d’accéder à des services internes critiques.

Une faille de type SSRF dans Adobe Experience Manager a permis à des attaquants d’explorer des services internes non exposés, en exploitant une logique détournée de redirection. Le vecteur a été activement utilisé à partir de nœuds publics “publish” vers des infrastructures internes, selon les observations de CrowdSec. Le correctif APSB25‑90 d’Adobe est désormais disponible, mais le nombre d’installations encore vulnérables reste préoccupant.

La gestion de contenu d’entreprise ne se limite plus à la publication web. Elle se connecte à des CRM, des bases de données marketing et des systèmes analytiques. C’est cette porosité fonctionnelle que l’attaque CVE‑2025‑54249 a exploitée, en déjouant les protections habituelles pour accéder à des services internes depuis des composants exposés.

La vulnérabilité CVE‑2025‑54249 a été découverte par Searchlight Cyber dans Adobe Experience Manager, la plateforme de gestion de contenu largement utilisée dans les grandes organisations. Elle touche spécifiquement les versions antérieures à AEM 6.5.23.0, lorsqu’elles sont déployées avec des nœuds « publish » accessibles depuis Internet. Le vecteur d’attaque réside dans le paramètre auth_uri, utilisé dans les flux d’authentification. En manipulant cette variable, un attaquant peut forcer le serveur à effectuer une requête HTTP vers une adresse interne de l’organisation. Cette technique, connue sous le nom de Server Side Request Forgery (SSRF), détourne le serveur pour l’utiliser comme relais vers des ressources qui ne sont pas exposées publiquement.

L’alerte officielle d’Adobe, publiée dans le bulletin APSB25‑90, recommande l’installation immédiate du correctif GRANITE‑61551, ainsi que le passage à une version supportée de la branche AEM 6.5. Le risque est considéré comme modéré dans l’absolu, mais potentiellement critique selon la sensibilité des systèmes accessibles via SSRF.

Un enchaînement qui contourne les barrières réseau

Le scénario d’intrusion débute depuis un formulaire ou une requête HTTP transmise à un nœud AEM de type “publish”, notamment sur les environnements non cloisonnés. L’attaquant introduit une valeur malicieuse dans le champ `auth_uri`, pointant vers une adresse IP interne ou un nom de domaine non routable depuis l’extérieur. Le serveur, interprétant cette instruction comme une redirection légitime, exécute alors une requête HTTP côté backend. Cette requête échappe aux filtres de sécurité classiques, notamment les pare-feux périmétriques, puisqu’elle est initiée depuis l’intérieur du système.

Dans les configurations observées, ce mécanisme permet d’atteindre des API internes, des interfaces d’administration ou des services REST utilisés pour le suivi de campagnes. L’attaque peut ensuite être prolongée par une extraction d’informations sensibles, une cartographie des services internes ou, dans certains cas, une élévation de privilèges par rebond sur des interfaces peu sécurisées. Le caractère modulaire d’AEM, combiné à des règles de dispatcher parfois permissives, renforce cette exposition.

Une exploitation active détectée par télémétrie comportementale

Dès la mi-octobre 2025, les capteurs comportementaux de CrowdSec ont détecté une activité anormale ciblant le vecteur `auth_uri`. Plus de 70 adresses IP différentes ont été identifiées comme sources de requêtes malveillantes, dont certaines issues d’infrastructures cloud utilisées pour le scanning automatisé. Les attaques se sont concentrées sur des plages horaires variables, avec une moyenne de 8 tentatives par jour. Si aucune campagne massive n’a été confirmée, le caractère ciblé et persistant des sondes laisse supposer une exploitation opportuniste à grande échelle.

L’intérêt de cette observation tient à la méthode de détection. CrowdSec n’a pas seulement recensé les signatures classiques, mais a mis en place une règle comportementale qui observe la structure des URI, les schémas d’appel et les redirections suspectes. Cette approche a permis de construire une règle de mitigation pro-active, diffusée en tant que « virtual patch » dans sa bibliothèque de règles communautaires dès la fin octobre.

Des mesures immédiates pour contenir la menace

Le correctif GRANITE‑61551 publié par Adobe constitue la première ligne de défense. Il colmate la faille au niveau du traitement de l’URI dans les modules affectés. Mais la remédiation complète implique plusieurs actions complémentaires. D’abord, vérifier que les nœuds « publish » et « author » sont bien isolés, avec des ACL strictes empêchant les rebonds internes non maîtrisés. Ensuite, configurer le dispatcher pour bloquer les redirections vers des adresses internes ou non autorisées.

En parallèle, l’usage d’un pare-feu applicatif ou d’un proxy inverse intelligent permet d’intercepter les schémas suspects. L’approche la plus efficace consiste à intégrer des règles de surveillance comportementale, comme celles proposées par CrowdSec, pour détecter les anomalies en temps réel. Enfin, un audit des flux internes transitant par AEM s’impose, afin d’identifier les services sensibles potentiellement exposés par rebond.

Ce que révèle cet incident sur les architectures CMS hybrides

L’affaire CVE‑2025‑54249 illustre les failles systémiques propres aux plateformes de contenu intégrées à des systèmes internes critiques. Le cloisonnement logique entre frontaux web et services métiers est souvent insuffisant, ou mis en défaut par des mécanismes de redirection non documentés. La flexibilité d’AEM, qui fait sa force en marketing digital, devient un vecteur de risque si elle n’est pas encadrée par une politique de sécurité rigoureuse.

Pour les responsables IT, cette faille pose la question de la visibilité sur les flux internes initiés depuis des composants web. Elle met également en lumière la nécessité d’une gouvernance précise des dépendances applicatives et d’une séparation stricte des responsabilités réseau. Plus largement, elle rappelle que la sécurité des CMS d’entreprise ne peut plus reposer uniquement sur les correctifs éditeur mais nécessite une défense en profondeur comportementale et systémique.

La vulnérabilité CVE‑2025‑54249 agit comme un révélateur. Elle souligne que la sécurité des plateformes de contenu ne peut plus être considérée isolément. Elle impose une refonte des pratiques de segmentation et de supervision, pour faire face à des attaques qui exploitent la complexité croissante des architectures hybrides. Agir vite sur les composants AEM concernés permet non seulement d’éviter une compromission mais aussi de renforcer la résilience applicative globale.

Ce qu’il faut savoir

  • Le fait : Une faille SSRF dans Adobe Experience Manager expose des services internes.
  • Qui est concerné : Utilisateurs d’Adobe Experience Manager, entreprises utilisant des systèmes internes critiques.
  • Quand : Découverte en octobre 2025, correctif disponible.
  • Où : Global, impact sur les installations accessibles depuis Internet.

Sources

Source : IT SOCIAL

Source : IT SOCIAL

Visuel d’illustration — Source : itsocial.fr

Source d’origine : Voir la publication initiale

Date : 2025-11-04 08:53:00 — Site : itsocial.fr

Auteur : Cédric Balcon-Hermand — Biographie & projets

Application : Téléchargez Artia13 Actualité (Android)

Notre IA anti-désinformation : Analyzer Fake News (Artia13)

Publié le : 2025-11-04 08:53:00 — Slug : anatomie-dune-faille-cms-comment-adobe-experience-manager-a-expose-ses-services-internes-it-social

Hashtags : #Anatomie #dune #faille #CMS #comment #Adobe #Experience #Manager #exposé #ses #services #internes #SOCIAL

share Partager