Na terça-feira(10), a Adobe disponibilizou atualizações de segurança para corrigir um total de 254 falhas de segurança que impactam seus produtos de software, sendo a maioria delas no Experience Manager (AEM).
Dos 254 defeitos, 225 estão no AEM, afetando o AEM Cloud Service (CS) assim como todas as versões anteriores e incluindo a versão 6.5.22.
Os problemas foram resolvidos no AEM Cloud Service Release 2025.5 e na versão 6.5.23.
"A exploração bem-sucedida dessas vulnerabilidades poderia resultar em execução arbitrária de código, escalada de privilégios e contornar funcionalidades de segurança," disse a Adobe em um comunicado.
Quase todas as 225 vulnerabilidades foram classificadas como vulnerabilidades de cross-site scripting (XSS), especificamente uma mistura de XSS armazenado e XSS baseado no DOM, que poderiam ser exploradas para alcançar execução arbitrária de código.
A Adobe creditou os pesquisadores de segurança Jim Green (green-jam), Akshay Sharma (anonymous_blackzero), e lpi por descobrir e reportar as falhas de XSS.
A falha mais grave corrigida pela empresa como parte da atualização deste mês diz respeito a uma falha de execução de código no Adobe Commerce e Magento Open Source.
A vulnerabilidade crítica,
CVE-2025-47110
(pontuação CVSS: 9.1), é uma falha de XSS refletida que poderia resultar em execução arbitrária de código.
Também foi abordado um defeito de autorização inadequada (
CVE-2025-43585
, pontuação CVSS: 8.2) que poderia levar a um contorno de funcionalidades de segurança.
As seguintes versões são impactadas:
- Adobe Commerce (2.4.8, 2.4.7-p5 e anteriores, 2.4.6-p10 e anteriores, 2.4.5-p12 e anteriores, e 2.4.4-p13 e anteriores);
- Adobe Commerce B2B (1.5.2 e anteriores, 1.4.2-p5 e anteriores, 1.3.5-p10 e anteriores, 1.3.4-p12 e anteriores, e 1.3.3-p13 e anteriores);
- Magento Open Source (2.4.8, 2.4.7-p5 e anteriores, 2.4.6-p10 e anteriores, 2.4.5-p12 e anteriores).
Das demais atualizações, quatro estão relacionadas a falhas de execução de código no Adobe InCopy (
CVE-2025-30327
,
CVE-2025-47107
, pontuações CVSS: 7.8) e Substance 3D Sampler (
CVE-2025-43581
,
CVE-2025-43588
, pontuações CVSS: 7.8).
Embora nenhum dos bugs tenha sido listado como conhecido publicamente ou explorado no ambiente virtual, os usuários são aconselhados a atualizar suas instâncias para a versão mais recente para se proteger contra possíveis ameaças.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...