Boletim de segurança da Adobe

Atualizações de segurança disponíveis para o Adobe Experience Manager | APSB25-90

ID do boletim

Data de publicação

Prioridade

APSB25-90

9 de setembro de 2025

3

Resumo

Adobe lançou atualizações para o Adobe Experience Manager (AEM). Estas atualizações resolvem vulnerabilidades classificadas como críticas e importantes. Uma exploração bem-sucedida dessas vulnerabilidades podia resultar em uma falha do recurso de segurança.

A Adobe não tem conhecimento de nenhuma exploração na Web de nenhum dos problemas abordados nestas atualizações.

Versões do produto afetado

Produto Versão Plataforma
Adobe Experience Manager (AEM)
AEM Cloud Service (CS)
Todas

6.5 LTS SP1 e versões anteriores

6.5.23 e versões anteriores 

Todas

Solução

A Adobe categoriza essas atualizações com as seguintes classificações de prioridade e recomenda que os usuários atualizem suas instalações para as versões mais recentes:

Produto

Versão

Plataforma

Prioridade

Disponibilidade

Adobe Experience Manager (AEM) 
AEM Cloud Service versão 2025.9 Todas 3 Notas de versão
Adobe Experience Manager (AEM)  6.5 LTS SP1 (GRANITE-61551 Hotfix) Todas  3 Notas de versão
Adobe Experience Manager (AEM) 6.5.23 (GRANITE-61551 Hotfix) Todas  3 Notas de versão
Observação:

Os clientes que executam o Cloud Service da Adobe Experience Manager receberão automaticamente atualizações que incluem novos recursos, bem como correções de erros de segurança e funcionalidade.  

Observação:
Observação:

Entre em contato com o Atendimento ao cliente da Adobe para obter assistência com as versões 6.4, 6.3 e 6.2 do AEM.

Detalhes da vulnerabilidade

Categoria da vulnerabilidade
Impacto da vulnerabilidade
Severidade
Pontuação base de CVSS
Vetor CVSS
Número CVE
Validação de entrada inadequada (CWE-20) Falha de recurso de segurança Crítico 7,7 CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:N/A:N CVE-2025-54248
Autorização incorreta (CWE-863) Falha de recurso de segurança Importante 6.5 CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:N CVE-2025-54246
Validação de entrada inadequada (CWE-20) Falha de recurso de segurança Importante 6.5 CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N CVE-2025-54247
Falsificação de solicitação do lado do servidor (SSRF) (CWE-918) Falha de recurso de segurança Importante 6.5 CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N CVE-2025-54249
Validação de entrada inadequada (CWE-20) Falha de recurso de segurança Importante 4.9 CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:H/A:N CVE-2025-54250
XML Injection (também conhecido como Blind XPath Injection) (CWE-91) Falha de recurso de segurança Importante 4.3 CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N CVE-2025-54251
Criação de script entre sites (XSS armazenado) (CWE-79) Falha de recurso de segurança Importante 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2025-54252
Observação:

Se um cliente estiver usando o Apache httpd em um proxy com uma configuração sem padrão, ele pode ser impactado pelo CVE-2023-25690 — leia mais aqui: https://httpd.apache.org/security/vulnerabilities_24.html

Agradecimentos

A Adobe gostaria de agradecer aos seguintes profissionais por terem relatado esses problemas e trabalhado com a Adobe para ajudar a proteger nossos clientes: 

  • Dylan Pindur e Adam Kues (Assetnote) - CVE-2025-54246, CVE-2025-54247, CVE-2025-54248, CVE-2025-54249, CVE-2025-54250, CVE-2025-54251, CVE-2025-54252

OBSERVAÇÃO: a Adobe tem um programa público de recompensa por erros com o HackerOne. Se você estiver interessado em trabalhar com a Adobe como pesquisador de segurança externo, consulte-nos aqui: https://hackerone.com/adobe

 

 

Revisões

30 de setembro de 2025: atualização da string vetorial CVSS de CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N para CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N de CVE-2025-54251


Para mais informações, acesse https://helpx.adobe.com/br/security.html ou envie um email para PSIRT@adobe.com.

Adobe, Inc.

Receba ajuda com mais rapidez e facilidade

Novo usuário?