公告 ID
上次更新日期:
2025年10月7日
Adobe Experience Manager 的安全更新 | APSB25-90
|
|
发布日期 |
优先级 |
|---|---|---|
|
APSB25-90 |
2025 年 9 月 9 日 |
3 |
摘要
受影响的产品版本
| 产品 | 版本 | 平台 |
|---|---|---|
| Adobe Experience Manager (AEM) |
AEM Cloud Service (CS) |
全部 |
6.5 LTS SP1 及更早版本 6.5.23 及更早版本 |
全部 |
解决方案
Adobe 按照以下优先级将更新分类,并建议用户将其安装的软件更新至最新版本:
注意:
在 Adobe Experience Manager Cloud Service 上运行的客户将自动接收包含新功能以及安全性和功能错误修复的更新。
注意:
Experience Manager 安全注意事项:
注意:
请联系 Adobe 客户关怀团队,以获取有关 AEM 6.4、6.3 和 6.2 版本的帮助。
漏洞详情
| 漏洞类别 |
漏洞影响 |
严重性 |
CVSS 基础评分 |
CVSS 向量 |
CVE 编号 |
| 不当的输入验证 (CWE-20) | 安全功能旁路 | 关键 | 7.7 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:N/A:N | CVE-2025-54248 |
| 不正确的授权 (CWE-863) | 安全功能旁路 | 重要 | 6.5 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:N | CVE-2025-54246 |
| 不当的输入验证 (CWE-20) | 安全功能旁路 | 重要 | 6.5 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N | CVE-2025-54247 |
| 服务器端请求伪造 (SSRF) (CWE-918) | 安全功能旁路 | 重要 | 6.5 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N | CVE-2025-54249 |
| 不当的输入验证 (CWE-20) | 安全功能旁路 | 重要 | 4.9 | CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:H/A:N | CVE-2025-54250 |
| XML 注入(又名盲 XPath 注入)(CWE-91) | 安全功能旁路 | 重要 | 4.3 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N | CVE-2025-54251 |
| 跨站点脚本(存储型 XSS)(CWE-79) | 安全功能旁路 | 重要 | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2025-54252 |
注意:
如果客户在非默认配置的代理中使用 Apache httpd,他们可能会受到 CVE-2023-25690 的影响 - 更多信息参见:https://httpd.apache.org/security/vulnerabilities_24.html
鸣谢
Adobe 衷心感谢以下人员报告这些问题并与 Adobe 一起保护我们的客户:
- Dylan Pindur 和 Adam Kues(Assetnote)- CVE-2025-54246、CVE-2025-54247、CVE-2025-54248、CVE-2025-54249、CVE-2025-54250、CVE-2025-54251、CVE-2025-54252
注意:Adobe 通过 HackerOne 开展公开的有奖挖洞项目。 如果您有兴趣作为外部安全研究人员与 Adobe 合作,请访问 https://hackerone.com/adobe
修订
2025 年 9 月 30 日 — 将 CVE-2025-54251 的 CVSS 矢量字符串从 CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N 更新为 CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N
有关更多信息,请访问 https://helpx.adobe.com/cn/security.html,或发送电子邮件至 PSIRT@adobe.com。
