Adobe martedì ha spinto Aggiornamenti di sicurezza Per affrontare un totale di 254 difetti di sicurezza che incidono sui suoi prodotti software program, la maggior parte dei quali influenza Expertise Supervisor (AEM).
Dei 254 difetti, 225 risiedono in AEM, influiscono sul servizio cloud AEM (CS), nonché tutte le versioni prima di e incluso 6.5.22. I problemi sono stati risolti nella versione AEM Cloud Service 2025.5 e versione 6.5.23.
“Lo sfruttamento riuscito di queste vulnerabilità potrebbe comportare l’esecuzione arbitraria del codice, l’escalation dei privilegi e il bypass delle funzionalità di sicurezza”, Adobe disse in un avviso.
Quasi tutte le 225 vulnerabilità sono state classificate come vulnerabilità di script siti (XSS), in particolare un combine di XSS e XSS basati su DOM memorizzati, che potrebbero essere sfruttati per ottenere l’esecuzione arbitraria del codice.
Adobe ha accreditato i ricercatori della sicurezza Jim Inexperienced (Inexperienced-Jam), Akshay Sharma (Anonymous_Blackzero) e LPI per aver scoperto e segnalato i difetti XSS.
Il più grave dei difetti patchati dalla società come parte dell’aggiornamento di questo mese riguarda un difetto di esecuzione del codice in Adobe Commerce e Magento Open Supply.
La vulnerabilità con ranking critico, CVE-2025-47110 (punteggio CVSS: 9.1) è una vulnerabilità XSS riflessa che potrebbe comportare l’esecuzione del codice arbitrario. Indirizzato anche un difetto di autorizzazione impropria (CVE-2025-43585, punteggio CVSS: 8.2) che potrebbe portare a un bypass di funzionalità di sicurezza.
IL seguenti versioni sono colpiti –
- Adobe Commerce (2.4.8, 2.4.7-p5 e precedente, 2.4.6-p10 e prima, 2.4.5-p12 e prima e 2.4.4-p13 e prima)
- Adobe Commerce B2B (1.5.2 e precedente, 1.4.2-p5 e precedente, 1.3.5-p10 e prima, 1.3.4-p12 e precedente e 1.3.3-p13 e prima)
- Magento Open Supply (2.4.8, 2.4.7-p5 e prima, 2.4.6-p10 e prima, 2.4.5-p12 e prima)
Degli aggiornamenti rimanenti, quattro si riferiscono ai difetti di esecuzione del codice Incopia Adobe (CVE-2025-30327, CVE-2025-47107, punteggi CVSS: 7.8) e Campionatore 3D di sostanza (CVE-2025-43581, CVE-2025-43588, punteggi CVSS: 7.8).
Sebbene nessuno dei bug è stato elencato come noto o sfruttato pubblicamente in natura, gli utenti si consigliano di aggiornare le loro istanze all’ultima versione per salvaguardare contro potenziali minacce.
