Adobe – sikkerhetsbulletin

Sikkerhetsoppdateringer tilgjengelig for Adobe Experience Manager | APSB25-90

Bulletin-ID

Publiseringsdato

Prioritet

APSB25-90

9. september 2025

3

Sammendrag

Adobe har lansert oppdateringer for Adobe Experience Manager (AEM). Disse oppdateringene løser sårbarheter vurdert som kritiske og viktige. Vellykket utnyttelse av disse sårbarhetene kan føre til omgåelse av sikkerhetsfunksjoner.

Adobe kjenner ikke til aktiv utnyttelse av noen av problemene som løses av disse oppdateringene.

Berørte produktversjoner

Produkt Versjon Plattform
Adobe Experience Manager (AEM)
AEM Cloud Service (CS)
Alle

6.5 LTS SP1 og tidligere versjoner

6.5.23 og tidligere versjoner 

Alle

Løsning

Adobe kategoriserer disse oppdateringene med følgende prioritetsklassifiseringer og anbefaler at brukerne oppdaterer installasjonen til den nyeste versjonen:

Produkt

Versjon

Plattform

Prioritet

Tilgjengelighet

Adobe Experience Manager (AEM) 
AEM Cloud Service Release 2025.9 Alle 3 Utgivelsesmerknader
Adobe Experience Manager (AEM)  6.5 LTS SP1 (GRANITE-61551 Hotfix) Alle  3 Utgivelsesmerknader
Adobe Experience Manager (AEM) 6.5.23 (GRANITE-61551 Hotfix) Alle  3 Utgivelsesmerknader
Merk:

Kunder som kjører på Cloud Experience-tjenesten til Adobe Experience Manager, mottar automatisk oppdateringer som inkluderer nye funksjoner, samt sikkerhets- og funksjonalitetsfeilrettinger.  

Merk:

Kontakt Adobes kundestøtte for assistanse med AEM-versjonene 6.4, 6.3 og 6.2.

Informasjon om sikkerhetsproblemet

Sikkerhetsproblemkategori
Sikkerhetsprobleminnvirkning
Alvorlighetsgrad
CVSS-grunnscore
CVSS-vektor
CVE-nummer
Feil inndatavalidering (CWE-20) Omgåelse av sikkerhetsfunksjon Kritisk 7.7 CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:N/A:N CVE-2025-54248
Feil autorisasjon (CWE-863) Omgåelse av sikkerhetsfunksjon Viktig 6.5 CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:N CVE-2025-54246
Feil inndatavalidering (CWE-20) Omgåelse av sikkerhetsfunksjon Viktig 6.5 CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N CVE-2025-54247
Forfalskning av forespørsel på serverside (SSRF) (CWE-918) Omgåelse av sikkerhetsfunksjon Viktig 6.5 CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N CVE-2025-54249
Feil inndatavalidering (CWE-20) Omgåelse av sikkerhetsfunksjon Viktig 4.9 CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:H/A:N CVE-2025-54250
XML Injection (aka Blind XPath Injection) (CWE-91) Omgåelse av sikkerhetsfunksjon Viktig 4.3 CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N CVE-2025-54251
Skripting på tvers av nettsteder (lagret XSS) (CWE-79) Omgåelse av sikkerhetsfunksjon Viktig 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2025-54252
Merk:

Hvis kunder bruker Apache httpd i en proxy med en ikke-standard konfigurasjon, kan de bli påvirket av CVE-2023-25690 – les mer her: https://httpd.apache.org/security/vulnerabilities_24.html

Bekreftelser

Adobe takker følgende for at de rapporterte disse problemene, og for at de samarbeider med Adobe for å hjelpe oss med å beskytte våre kunder: 

  • Dylan Pindur og Adam Kues (Assetnote) - CVE-2025-54246, CVE-2025-54247, CVE-2025-54248, CVE-2025-54249, CVE-2025-54250, CVE-2025-54251, CVE-2025-54252

MERK: Adobe har et offentlig bug-bounty-program med HackerOne. Hvis du er interessert i å jobbe med Adobe som en ekstern sikkerhetsforsker, kan du sjekke ut https://hackerone.com/adobe

 

 

Revisjoner

30. september 2025 – Oppdatert CVSS-vektorstreng fra CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N til CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N for CVE-2025-54251


Du finner mer informasjon under https://helpx.adobe.com/no/security.html, eller send en e-post til PSIRT@adobe.com.

Adobe, Inc.

Få hjelp raskere og enklere

Ny bruker?