Adobe назвала 254 причины, чтобы срочно обновить свой софт
NewsMakerMagento выглядела вполне нормально, пока в ней не нашли способ запускать произвольный код.
Adobe выпустила масштабное обновление безопасности , закрывающее сразу 254 уязвимости в своих продуктах. Подавляющее большинство — 225 уязвимостей — были обнаружены в Adobe Experience Manager (AEM), включая облачную версию Cloud Service и все сборки до и включая версию 6.5.22. Проблемы были устранены в релизе AEM Cloud Service 2025.5 и версии 6.5.23.
По данным компании, успешная эксплуатация этих уязвимостей может привести к выполнению произвольного кода, повышению привилегий и обходу механизмов защиты. При этом почти все обнаруженные проблемы классифицированы как XSS — в частности, речь идёт о хранимых XSS и DOM-ориентированных XSS-атаках. Эти типы уязвимостей позволяют внедрять вредоносный JavaScript-код, который будет выполняться в браузере жертвы при взаимодействии с заражённым контентом.
Исследованиями и сообщением об уязвимостях в AEM занимались специалисты под псевдонимами Jim Green (green-jam), Akshay Sharma (anonymous_blackzero) и lpi, чьи отчёты помогли Adobe вовремя устранить риски.
Однако наиболее критическая уязвимость этого раунда исправлений затронула не AEM, а Adobe Commerce и Magento Open Source. Уязвимость CVE-2025-47110 получила высокий балл 9.1 по шкале CVSS и представляет собой уязвимость типа Reflected XSS , через которую также возможно выполнение произвольного кода. Дополнительно была устранена проблема CVE-2025-43585 с оценкой 8.2 — ошибка авторизации, которая позволяет обойти механизмы защиты.
Атакам подвержены следующие версии продуктов:
На момент публикации информации ни одна из уязвимостей не была публично раскрыта или использована в атаках, однако Adobe настоятельно рекомендует пользователям немедленно обновить программное обеспечение до актуальных версий, чтобы предотвратить возможные инциденты.
Adobe выпустила масштабное обновление безопасности , закрывающее сразу 254 уязвимости в своих продуктах. Подавляющее большинство — 225 уязвимостей — были обнаружены в Adobe Experience Manager (AEM), включая облачную версию Cloud Service и все сборки до и включая версию 6.5.22. Проблемы были устранены в релизе AEM Cloud Service 2025.5 и версии 6.5.23.
По данным компании, успешная эксплуатация этих уязвимостей может привести к выполнению произвольного кода, повышению привилегий и обходу механизмов защиты. При этом почти все обнаруженные проблемы классифицированы как XSS — в частности, речь идёт о хранимых XSS и DOM-ориентированных XSS-атаках. Эти типы уязвимостей позволяют внедрять вредоносный JavaScript-код, который будет выполняться в браузере жертвы при взаимодействии с заражённым контентом.
Исследованиями и сообщением об уязвимостях в AEM занимались специалисты под псевдонимами Jim Green (green-jam), Akshay Sharma (anonymous_blackzero) и lpi, чьи отчёты помогли Adobe вовремя устранить риски.
Однако наиболее критическая уязвимость этого раунда исправлений затронула не AEM, а Adobe Commerce и Magento Open Source. Уязвимость CVE-2025-47110 получила высокий балл 9.1 по шкале CVSS и представляет собой уязвимость типа Reflected XSS , через которую также возможно выполнение произвольного кода. Дополнительно была устранена проблема CVE-2025-43585 с оценкой 8.2 — ошибка авторизации, которая позволяет обойти механизмы защиты.
Атакам подвержены следующие версии продуктов:
- Adobe Commerce: версии 2.4.8, 2.4.7-p5 и более ранние, 2.4.6-p10 и более ранние, 2.4.5-p12 и более ранние, 2.4.4-p13 и более ранние;
- Adobe Commerce B2B: версии 1.5.2 и более ранние, 1.4.2-p5 и более ранние, 1.3.5-p10 и более ранние, 1.3.4-p12 и более ранние, 1.3.3-p13 и более ранние;
- Magento Open Source: версии 2.4.8, 2.4.7-p5 и более ранние, 2.4.6-p10 и более ранние, 2.4.5-p12 и более ранние.
На момент публикации информации ни одна из уязвимостей не была публично раскрыта или использована в атаках, однако Adobe настоятельно рекомендует пользователям немедленно обновить программное обеспечение до актуальных версий, чтобы предотвратить возможные инциденты.