Tiedotteen tunnus
Päivitetty viimeksi
7. lokakuuta 2025
Adobe Experience Managerin tietoturvapäivitykset | APSB25-90
|
|
Julkaisupäivä |
Prioriteetti |
|---|---|---|
|
APSB25-90 |
9. syyskuuta 2025 |
3 |
Yhteenveto
Adobe on julkaissut päivityksiä Adobe Experience Manageriin (AEM). Nämä päivitykset ratkaisevat kriittisiä ja tärkeitä haavoittuvuuksia. Jos näitä haavoittuvuuksia onnistuttaisiin hyödyntämään, se voisi johtaa tietoturvaominaisuuksien ohittamiseen.
Adobe ei ole tietoinen, että mitään näissä päivityksissä käsiteltyjä haavoittuvuuksia olisi hyödynnetty käytännössä.
Alttiit tuoteversiot
| Tuote | Versio | Ympäristö |
|---|---|---|
| Adobe Experience Manager (AEM) |
AEM Cloud Service (CS) |
Kaikki |
6.5 LTS SP1 ja aiemmat versiot 6.5.23 ja aiemmat versiot |
Kaikki |
Ratkaisu
Adobe luokittelee päivitykset seuraavan prioriteettiluokituksen mukaisesti ja suosittelee käyttäjiä päivittämään asennuksensa uusimpaan versioon:
Tuote |
Versio |
Käyttöympäristö |
Prioriteetti |
Saatavuus |
|---|---|---|---|---|
| Adobe Experience Manager (AEM) |
AEM Cloud Service -versio 2025.9 | Kaikki | 3 | Julkaisutiedot |
| Adobe Experience Manager (AEM) | 6.5 LTS SP1 (GRANITE-61551 Hotfix) | Kaikki | 3 | Julkaisutiedot |
| Adobe Experience Manager (AEM) | 6.5.23 (GRANITE-61551 Hotfix) | Kaikki | 3 | Julkaisutiedot |
Huomautus:
Adobe Experience Managerin Cloud Service -palvelua käyttävät asiakkaat saavat automaattisesti päivityksiä, jotka sisältävät uusia ominaisuuksia, kuten myös tietoturvaan ja toiminnallisuuteen liittyviä virheenkorjauksia.
Huomautus:
Experience Managerin tietoturvanäkökohdat:
AEM as a Cloud Service -palvelun suojaukseen liittyvät näkökohdat
Anonyymi käyttöoikeuksien vahvistuspaketti
Huomautus:
Ota yhteyttä Adoben asiakaspalveluun, jos tarvitset apua AEM:n versioihin 6.4, 6.3 ja 6.2 liittyen.
Lisätietoja haavoittuvuuksista
| Haavoittuvuusluokka |
Haavoittuvuuden vaikutus |
Vakavuus |
CVSS-peruspisteet |
CVSS-vektori |
CVE-numero |
| Virheellinen syötteen tarkistus (CWE-20) | Tietoturvaominaisuuden ohitus | Kriittinen | 7.7 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:N/A:N | CVE-2025-54248 |
| Virheellinen valtuutus (CWE-863) | Tietoturvaominaisuuden ohitus | Tärkeä | 6.5 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:N | CVE-2025-54246 |
| Virheellinen syötteen tarkistus (CWE-20) | Tietoturvaominaisuuden ohitus | Tärkeä | 6.5 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N | CVE-2025-54247 |
| Palvelinpuolen pyynnön väärennös (SSRF) (CWE-918) | Tietoturvaominaisuuden ohitus | Tärkeä | 6.5 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N | CVE-2025-54249 |
| Virheellinen syötteen tarkistus (CWE-20) | Tietoturvaominaisuuden ohitus | Tärkeä | 4.9 | CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:H/A:N | CVE-2025-54250 |
| XML-injektio (eli Blind XPath -injektio) (CWE-91) | Tietoturvaominaisuuden ohitus | Tärkeä | 4.3 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N | CVE-2025-54251 |
| Sivustojen välinen skriptaus (tallennettu XSS) (CWE-79) | Tietoturvaominaisuuden ohitus | Tärkeä | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2025-54252 |
Huomautus:
Jos asiakas käyttää Apache httpd:tä välityspalvelimella muulla kuin oletuskokoonpanolla, hän voi joutua alttiiksi haavoittuvuudelle CVE-2023-25690 – lisätietoja on täällä: https://httpd.apache.org/security/vulnerabilities_24.html
Kiitokset
Adobe haluaa kiittää seuraavia henkilöitä näistä ongelmista ilmoittamisesta ja yhteistyöstä Adoben kanssa sen asiakkaiden suojaamisessa:
- Dylan Pindur ja Adam Kues (Assetnote) - CVE-2025-54246, CVE-2025-54247, CVE-2025-54248, CVE-2025-54249, CVE-2025-54250, CVE-2025-54251, CVE-2025-54252
HUOMAUTUS: Adobella on HackerOnessa julkinen buginmetsästysohjelma. Jos olet kiinnostunut työskentelemään Adoben kanssa ulkopuolisena tietoturvatutkijana, tutustu ohjelmaan täällä: https://hackerone.com/adobe.
Versiot
30. syyskuuta 2025 -- Päivitetty CVSS Vector String muodosta CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N muotoon CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N kohteelle CVE-2025-54251
Saat lisätietoja siirtymällä osoitteeseen https://helpx.adobe.com/fi/security.html, tai lähettämällä sähköpostia osoitteeseen PSIRT@adobe.com.
