Bulletin-ID
Sikkerhetsoppdateringer tilgjengelig for Adobe Experience Manager | APSB25-90
|
Publiseringsdato |
Prioritet |
---|---|---|
APSB25-90 |
9. september 2025 |
3 |
Sammendrag
Adobe har lansert oppdateringer for Adobe Experience Manager (AEM). Disse oppdateringene løser sårbarheter vurdert som kritiske og viktige. Vellykket utnyttelse av disse sårbarhetene kan føre til omgåelse av sikkerhetsfunksjoner.
Adobe kjenner ikke til aktiv utnyttelse av noen av problemene som løses av disse oppdateringene.
Berørte produktversjoner
Produkt | Versjon | Plattform |
---|---|---|
Adobe Experience Manager (AEM) |
AEM Cloud Service (CS) |
Alle |
6.5 LTS SP1 og tidligere versjoner 6.5.23 og tidligere versjoner |
Alle |
Løsning
Adobe kategoriserer disse oppdateringene med følgende prioritetsklassifiseringer og anbefaler at brukerne oppdaterer installasjonen til den nyeste versjonen:
Produkt |
Versjon |
Plattform |
Prioritet |
Tilgjengelighet |
---|---|---|---|---|
Adobe Experience Manager (AEM) |
AEM Cloud Service Release 2025.9 | Alle | 3 | Utgivelsesmerknader |
Adobe Experience Manager (AEM) | 6.5 LTS SP1 (GRANITE-61551 Hotfix) | Alle | 3 | Utgivelsesmerknader |
Adobe Experience Manager (AEM) | 6.5.23 (GRANITE-61551 Hotfix) | Alle | 3 | Utgivelsesmerknader |
Kunder som kjører på Cloud Experience-tjenesten til Adobe Experience Manager, mottar automatisk oppdateringer som inkluderer nye funksjoner, samt sikkerhets- og funksjonalitetsfeilrettinger.
Sikkerhetshensyn i Experience Manager:
Sikkerhetshensyn for AEM as a Cloud Service
Anonym tilgangsforsterkende pakke
Kontakt Adobes kundestøtte for assistanse med AEM-versjonene 6.4, 6.3 og 6.2.
Informasjon om sikkerhetsproblemet
Sikkerhetsproblemkategori |
Sikkerhetsprobleminnvirkning |
Alvorlighetsgrad |
CVSS-grunnscore |
CVSS-vektor |
CVE-nummer |
Feil inndatavalidering (CWE-20) | Omgåelse av sikkerhetsfunksjon | Kritisk | 7.7 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:N/A:N | CVE-2025-54248 |
Feil autorisasjon (CWE-863) | Omgåelse av sikkerhetsfunksjon | Viktig | 6.5 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:N | CVE-2025-54246 |
Feil inndatavalidering (CWE-20) | Omgåelse av sikkerhetsfunksjon | Viktig | 6.5 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N | CVE-2025-54247 |
Forfalskning av forespørsel på serverside (SSRF) (CWE-918) | Omgåelse av sikkerhetsfunksjon | Viktig | 6.5 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N | CVE-2025-54249 |
Feil inndatavalidering (CWE-20) | Omgåelse av sikkerhetsfunksjon | Viktig | 4.9 | CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:H/A:N | CVE-2025-54250 |
XML Injection (aka Blind XPath Injection) (CWE-91) | Omgåelse av sikkerhetsfunksjon | Viktig | 4.3 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N | CVE-2025-54251 |
Skripting på tvers av nettsteder (lagret XSS) (CWE-79) | Omgåelse av sikkerhetsfunksjon | Viktig | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2025-54252 |
Hvis kunder bruker Apache httpd i en proxy med en ikke-standard konfigurasjon, kan de bli påvirket av CVE-2023-25690 – les mer her: https://httpd.apache.org/security/vulnerabilities_24.html
Bekreftelser
Adobe takker følgende for at de rapporterte disse problemene, og for at de samarbeider med Adobe for å hjelpe oss med å beskytte våre kunder:
- Dylan Pindur og Adam Kues (Assetnote) - CVE-2025-54246, CVE-2025-54247, CVE-2025-54248, CVE-2025-54249, CVE-2025-54250, CVE-2025-54251, CVE-2025-54252
MERK: Adobe har et offentlig bug-bounty-program med HackerOne. Hvis du er interessert i å jobbe med Adobe som en ekstern sikkerhetsforsker, kan du sjekke ut https://hackerone.com/adobe
Revisjoner
30. september 2025 – Oppdatert CVSS-vektorstreng fra CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N til CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N for CVE-2025-54251
Du finner mer informasjon under https://helpx.adobe.com/no/security.html, eller send en e-post til PSIRT@adobe.com.