Adobe lanzó
actualizaciones de seguridad para abordar un total de 254
vulnerabilidades
que afectan a sus productos de software, la mayoría de las cuales afectan a
Experience Manager (AEM).
De las 254 vulnerabilidades, 225 residen en AEM, afectando a AEM Cloud Service
(CS), así como a todas las versiones anteriores a la 6.5.22 inclusive. Los
problemas se han resuelto en las versiones 2025.5 y 6.5.23 de AEM Cloud
Service.
«La explotación exitosa de estas vulnerabilidades podría resultar en la
ejecución de código arbitrario, la escalada de privilegios y la omisión de
funciones de seguridad»,
declaró Adobe en un aviso.
Casi todas las 225 vulnerabilidades se han clasificado como vulnerabilidades
de secuencias de comandos entre sitios (XSS), específicamente una combinación
de XSS almacenado y XSS basado en DOM, que podrían explotarse para lograr la
ejecución de código arbitrario.
Adobe ha reconocido a los investigadores de seguridad Jim Green
(green-jam), Akshay Sharma (anonymous_blackzero) y lpi por
descubrir y reportar las fallas XSS.
La falla más grave corregida por la compañía como parte de la actualización de
este mes se refiere a una falla de ejecución de código en AdobeCommerce y
Magento Open Source. La vulnerabilidad crítica, CVE-2025-47110 (puntuación
CVSS: 9.1), es una vulnerabilidad XSS reflejada que podría provocar la
ejecución de código arbitrario. También se ha corregido una falla de
autorización incorrecta (CVE-2025-43585, puntuación CVSS: 8.2) que podría
provocar la omisión de una función de seguridad.
Las
siguientes versiones se ven afectadas:
-
Adobe Commerce (2.4.8, 2.4.7-p5 y anteriores, 2.4.6-p10 y anteriores,
2.4.5-p12 y anteriores, y 2.4.4-p13 y anteriores) -
Adobe Commerce B2B (1.5.2 y anteriores, 1.4.2-p5 y anteriores, 1.3.5-p10 y
anteriores, 1.3.4-p12 y anteriores, y 1.3.3-p13 y anteriores) -
Magento Open Source (2.4.8, 2.4.7-p5 y anteriores, 2.4.6-p10 y anteriores,
2.4.5-p12 y anteriores)
De las actualizaciones restantes, cuatro están relacionadas con fallos de
ejecución de código en Adobe InCopy (CVE-2025-30327, CVE-2025-47107, CVSS)
Puntuación: 7.8) y Substance 3D Sampler (CVE-2025-43581, CVE-2025-43588,
puntuación CVSS: 7.8).
Si bien ninguno de los errores se ha registrado como de conocimiento público
ni se ha explotado de forma activa, se recomienda a los usuarios que
actualicen sus instancias a la última versión para protegerse contra posibles
amenazas.
Fuente:
THN