Adobe sikkerhedsbulletin

Tilgængelige sikkerhedsopdateringer til Adobe Experience Manager | APSB25-90

Bulletin-ID

Udgivelsesdato

Prioritet

APSB25-90

9. september 2025

3

Resumé

Adobe har frigivet opdateringer til Adobe Experience Manager (AEM). Disse opdateringer løser sikkerhedsproblemer, der klassificeres som kritiske og vigtige. En udnyttelse af disse sikkerhedsproblemer kan resultere i omgåelse af sikkerhedsfunktioner.

Adobe er ikke bekendt med, at der skulle være exploits i omløb for nogen af de problemer, der behandles i disse opdateringer.

Berørte produktversioner

Produkt Version Platform
Adobe Experience Manager (AEM)
AEM Cloud Service (CS)
Alle

6.5 LTS SP1 og tidligere versioner

6.5.23 og tidligere versioner 

Alle

Løsning

Adobe kategoriserer disse opdateringer med følgende prioritetsgrader og anbefaler, at brugere opdaterer deres installation til den nyeste version:

Produkt

Version

Platform

Prioritet

Tilgængelighed

Adobe Experience Manager (AEM) 
AEM Cloud Service-version 2025.9 Alle 3 Produktbemærkninger
Adobe Experience Manager (AEM)  6.5 LTS SP1 (GRANITE-61551 Hotfix) Alle  3 Produktbemærkninger
Adobe Experience Manager (AEM) 6.5.23 (GRANITE-61551 Hotfix) Alle  3 Produktbemærkninger
Bemærk:

Kunder, der kører på Adobe Experience Manager’s Cloud Service, vil automatisk modtage opdateringer, som indeholder nye funktioner samt sikkerheds- og funktionsfejlrettelser.  

Bemærk:
Bemærk:

Kontakt Adobes kundeservice for at få assistance til AEM-versionerne 6.4, 6.3 og 6.2.

Sikkerhedsoplysninger

Sikkerhedskategori
Virkning af sikkerhedsproblem
Alvorlighed
CVSS-basisscore
CVSS-vektor
CVE-nummer
Ukorrekt input-validering (CWE-20) Sikkerhedsomgåelse Kritisk 7,7 CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:N/A:N CVE-2025-54248
Ukorrekt autorisation (CWE-863) Sikkerhedsomgåelse Vigtig 6.5 CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:N CVE-2025-54246
Ukorrekt input-validering (CWE-20) Sikkerhedsomgåelse Vigtig 6.5 CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N CVE-2025-54247
Forfalskning af anmodninger på serversiden (SSRF) (CWE-918) Sikkerhedsomgåelse Vigtig 6.5 CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N CVE-2025-54249
Ukorrekt input-validering (CWE-20) Sikkerhedsomgåelse Vigtig 4.9 CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:H/A:N CVE-2025-54250
XML-injektion (også kendt som blind XPath-injektion) (CWE-91) Sikkerhedsomgåelse Vigtig 4.3 CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N CVE-2025-54251
Cross-site scripting (lagret XSS) (CWE-79) Sikkerhedsomgåelse Vigtig 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2025-54252
Bemærk:

Hvis en kunde bruger Apache httpd i en proxy med en anden konfiguration end standardkonfigurationen, kan de være berørt af CVE-2023-25690 - læs mere her: https://httpd.apache.org/security/vulnerabilities_24.html

Tak til følgende personer

Adobe vil gerne takke følgende personer for at rapportere disse sikkerhedsproblemer og for at samarbejde med Adobe for at beskytte vores kunder: 

  • Dylan Pindur og Adam Kues (Assetnote) - CVE-2025-54246, CVE-2025-54247, CVE-2025-54248, CVE-2025-54249, CVE-2025-54250, CVE-2025-54251, CVE-2025-54252

BEMÆRK: Adobe og HackerOne har indgået et samarbejde til rapportering af programfejl. Hvis du er interesseret i at arbejde med Adobe som ekstern sikkerhedsforsker, kan du tjekke os ud på: https://hackerone.com/adobe

 

 

Revisioner

30. september 2025 -- opdateret CVSS-vektorstreng fra CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N to CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N for CVE-2025-54251


Du kan få yderligere oplysninger på https://helpx.adobe.com/dk/security.html eller ved at skrive til PSIRT@adobe.com.

Adobe, Inc.

Få hjælp hurtigere og nemmere

Ny bruger?