ID bulletinu
Bezpečnostní aktualizace dostupné pro Adobe Experience Manager | APSB25-90
|
Datum zveřejnění |
Priorita |
---|---|---|
APSB25-90 |
9. září 2025 |
3 |
Shrnutí
Společnost Adobe zveřejnila aktualizace pro aplikaci Adobe Experience Manager (AEM). Tyto aktualizace řeší zranitelnosti hodnocené jako kritické a důležité. Úspěšné zneužití těchto zranitelností by mohlo vést k obejití bezpečnostních funkcí.
Společnost Adobe neví o žádném zneužití chyb vyřešených v těchto aktualizací v reálném prostředí.
Dotčené verze produktu
Produkt | Verze | Platforma |
---|---|---|
Adobe Experience Manager (AEM) |
AEM Cloud Service (CS) |
Vše |
6.5 LTS SP1 a starší verze 6.5.23 a starší verze |
Vše |
Řešení
Společnost Adobe označuje tyto aktualizace následujícími úrovněmi priority a doporučuje uživatelům aktualizovat produkt na nejnovější verzi:
Produkt |
Verze |
Platforma |
Priorita |
Dostupnost |
---|---|---|---|---|
Adobe Experience Manager (AEM) |
AEM Cloud Service Release 2025.9 | Vše | 3 | Poznámky k verzi |
Adobe Experience Manager (AEM) | 6.5 LTS SP1 (GRANITE-61551 Hotfix) | Vše | 3 | Poznámky k verzi |
Adobe Experience Manager (AEM) | 6.5.23 (GRANITE-61551 Hotfix) | Vše | 3 | Poznámky k verzi |
Zákazníci používající službu Cloud Service aplikace Adobe Experience Manager automaticky obdrží aktualizace, které obsahují nové funkce a také opravy chyb ve funkcích.
Bezpečnostní aspekty aplikace Experience Manager:
Bezpečnostní aspekty aplikace AEM as a Cloud Service
Balíček pro posílení anonymních oprávnění
O pomoc s verzemi aplikace AEM 6.4, 6.3 a 6.2 můžete požádat péči o zákazníky společnosti Adobe.
Podrobnosti o chybě zabezpečení
Kategorie chyby zabezpečení |
Dopad chyby zabezpečení |
Závažnost |
Základní hodnocení CVSS |
Vektor CVSS |
Číslo CVE |
Nesprávné ověření vstupu (CWE-20) | Obcházení bezpečnostních funkcí | Kritická | 7,7 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:N/A:N | CVE-2025-54248 |
Nesprávná autorizace (CWE-863) | Obcházení bezpečnostních funkcí | Důležitá | 6.5 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:N | CVE-2025-54246 |
Nesprávné ověření vstupu (CWE-20) | Obcházení bezpečnostních funkcí | Důležitá | 6.5 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N | CVE-2025-54247 |
Útoky SSRF (Server-Side Request Forgery) (CWE-918) | Obcházení bezpečnostních funkcí | Důležitá | 6.5 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N | CVE-2025-54249 |
Nesprávné ověření vstupu (CWE-20) | Obcházení bezpečnostních funkcí | Důležitá | 4.9 | CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:H/A:N | CVE-2025-54250 |
Nabourání souboru typu XML (CWE-91) | Obcházení bezpečnostních funkcí | Důležitá | 4.3 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N | CVE-2025-54251 |
Skriptování mezi weby (uložený XSS) (CWE-79) | Obcházení bezpečnostních funkcí | Důležitá | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2025-54252 |
Pokud zákazník používá Apache httpd na proxy serveru s jinou než výchozí konfigurací, může se ho týkat CVE-2023-25690 – více informací naleznete zde: https://httpd.apache.org/security/vulnerabilities_24.html
Poděkování
Společnost Adobe by ráda poděkovala za nahlášení těchto potíží a za spolupráci při ochraně našich zákazníků následujícím osobám:
- Dylan Pindur a Adam Kues (Assetnote) - CVE-2025-54246, CVE-2025-54247, CVE-2025-54248, CVE-2025-54249, CVE-2025-54250, CVE-2025-54251, CVE-2025-54252
POZNÁMKA: Společnost Adobe má ve spolupráci se společnosti HackerOne veřejný program Bug Bounty. Pokud máte zájem o spolupráci se společností Adobe jako externí výzkumník v oblasti zabezpečení, podívejte se na stránku https://hackerone.com/adobe.
Revize
30. září 2025 – Aktualizován řetězec vektoru CVSS z CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N na CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N pro CVE-2025-54251
Další informace najdete na adrese https://helpx.adobe.com/cz/security.html nebo o ně zažádejte e-mailem na adresu PSIRT@adobe.com.