ID do boletim
Última atualização em
07/10/2025
Atualizações de segurança disponíveis para o Adobe Experience Manager | APSB25-90
|
|
Data de publicação |
Prioridade |
|---|---|---|
|
APSB25-90 |
9 de setembro de 2025 |
3 |
Resumo
Adobe lançou atualizações para o Adobe Experience Manager (AEM). Estas atualizações resolvem vulnerabilidades classificadas como críticas e importantes. Uma exploração bem-sucedida dessas vulnerabilidades podia resultar em uma falha do recurso de segurança.
A Adobe não tem conhecimento de nenhuma exploração na Web de nenhum dos problemas abordados nestas atualizações.
Versões do produto afetado
| Produto | Versão | Plataforma |
|---|---|---|
| Adobe Experience Manager (AEM) |
AEM Cloud Service (CS) |
Todas |
6.5 LTS SP1 e versões anteriores 6.5.23 e versões anteriores |
Todas |
Solução
A Adobe categoriza essas atualizações com as seguintes classificações de prioridade e recomenda que os usuários atualizem suas instalações para as versões mais recentes:
Produto |
Versão |
Plataforma |
Prioridade |
Disponibilidade |
|---|---|---|---|---|
| Adobe Experience Manager (AEM) |
AEM Cloud Service versão 2025.9 | Todas | 3 | Notas de versão |
| Adobe Experience Manager (AEM) | 6.5 LTS SP1 (GRANITE-61551 Hotfix) | Todas | 3 | Notas de versão |
| Adobe Experience Manager (AEM) | 6.5.23 (GRANITE-61551 Hotfix) | Todas | 3 | Notas de versão |
Observação:
Os clientes que executam o Cloud Service da Adobe Experience Manager receberão automaticamente atualizações que incluem novos recursos, bem como correções de erros de segurança e funcionalidade.
Observação:
Considerações sobre Segurança do Experience Manager:
Considerações de Segurança do AEM as a Cloud Service
Pacote de Proteção de Permissão Anônima
Observação:
Entre em contato com o Atendimento ao cliente da Adobe para obter assistência com as versões 6.4, 6.3 e 6.2 do AEM.
Detalhes da vulnerabilidade
| Categoria da vulnerabilidade |
Impacto da vulnerabilidade |
Severidade |
Pontuação base de CVSS |
Vetor CVSS |
Número CVE |
| Validação de entrada inadequada (CWE-20) | Falha de recurso de segurança | Crítico | 7,7 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:N/A:N | CVE-2025-54248 |
| Autorização incorreta (CWE-863) | Falha de recurso de segurança | Importante | 6.5 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:N | CVE-2025-54246 |
| Validação de entrada inadequada (CWE-20) | Falha de recurso de segurança | Importante | 6.5 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N | CVE-2025-54247 |
| Falsificação de solicitação do lado do servidor (SSRF) (CWE-918) | Falha de recurso de segurança | Importante | 6.5 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N | CVE-2025-54249 |
| Validação de entrada inadequada (CWE-20) | Falha de recurso de segurança | Importante | 4.9 | CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:H/A:N | CVE-2025-54250 |
| XML Injection (também conhecido como Blind XPath Injection) (CWE-91) | Falha de recurso de segurança | Importante | 4.3 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N | CVE-2025-54251 |
| Criação de script entre sites (XSS armazenado) (CWE-79) | Falha de recurso de segurança | Importante | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2025-54252 |
Observação:
Se um cliente estiver usando o Apache httpd em um proxy com uma configuração sem padrão, ele pode ser impactado pelo CVE-2023-25690 — leia mais aqui: https://httpd.apache.org/security/vulnerabilities_24.html
Agradecimentos
A Adobe gostaria de agradecer aos seguintes profissionais por terem relatado esses problemas e trabalhado com a Adobe para ajudar a proteger nossos clientes:
- Dylan Pindur e Adam Kues (Assetnote) - CVE-2025-54246, CVE-2025-54247, CVE-2025-54248, CVE-2025-54249, CVE-2025-54250, CVE-2025-54251, CVE-2025-54252
OBSERVAÇÃO: a Adobe tem um programa público de recompensa por erros com o HackerOne. Se você estiver interessado em trabalhar com a Adobe como pesquisador de segurança externo, consulte-nos aqui: https://hackerone.com/adobe
Revisões
30 de setembro de 2025: atualização da string vetorial CVSS de CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N para CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N de CVE-2025-54251
Para mais informações, acesse https://helpx.adobe.com/br/security.html ou envie um email para PSIRT@adobe.com.
