Buletin de securitate Adobe

Actualizări de securitate disponibile pentru Adobe Experience Manager| APSB25-90

ID buletin

Data publicării

Prioritatea

APSB25-90

9 Septembrie, 2025

3

Sumar

Adobe a lansat actualizări pentru Adobe Experience Manager (AEM). Aceste actualizări rezolvă vulnerabilități evaluate ca critice și importante. Exploatarea cu succes a acestor vulnerabilități ar putea duce la ocolirea funcțiilor de securitate.

Adobe nu are cunoștință de vreo exploatare „în mediu liber” pentru niciuna din problemele adresate în cadrul acestor actualizări.

Versiunile de produs afectate

Produs Versiunea Platformă
Adobe Experience Manager (AEM)
AEM Cloud Service (CS)
Toate

6.5 LTS SP1 şi versiunile anterioare

6.5.23 și versiunile anterioare 

Toate

Soluție

Adobe acordă acestor actualizări următoarele evaluări ale priorității și recomandă utilizatorilor să își actualizeze produsele instalate la cea mai nouă versiune:

Produs

Versiune

Platformă

Prioritatea

Disponibilitate

Adobe Experience Manager (AEM) 
AEM Cloud Service Lansarea 2025.9 Toate 3 Note de lansare
Adobe Experience Manager (AEM)  6.5 LTS SP1 (GRANITE-61551 Hotfix) Toate  3 Note de lansare
Adobe Experience Manager (AEM) 6.5.23 (GRANITE-61551 Hotfix) Toate  3 Note de lansare
Notă:

Clienții care rulează în Cloud Service din Adobe Experience Manager vor primi automat actualizările care includ caracteristici noi, precum și remedieri ale erorilor de funcționalitate și de securitate.  

Notă:

Contactați serviciul de asistență pentru clienți Adobe pentru ajutor privind versiunile AEM 6.4, 6.3 și 6.2.

Detalii privind vulnerabilitatea

Categoria de vulnerabilitate
Impactul vulnerabilității
Severitate
Scor de bază CVSS
Vector CVSS
Număr CVE
Validare neadecvată a intrării (CWE-20) Ocolirea caracteristicii de securitate Critică 7.7 CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:N/A:N CVE-2025-54248
Autorizare incorectă (CWE-863) Ocolirea caracteristicii de securitate Importantă 6.5 CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:N CVE-2025-54246
Validare neadecvată a intrării (CWE-20) Ocolirea caracteristicii de securitate Importantă 6.5 CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N CVE-2025-54247
Falsificarea solicitărilor de partea serverului (SSRF) (CWE-918) Ocolirea caracteristicii de securitate Importantă 6.5 CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N CVE-2025-54249
Validare neadecvată a intrării (CWE-20) Ocolirea caracteristicii de securitate Importantă 4.9 CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:H/A:N CVE-2025-54250
Injectarea XML (cunoscută și ca Injectarea XPath oarbă) (CWE-91) Ocolirea caracteristicii de securitate Importantă 4.3 CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N CVE-2025-54251
Scriptare între site-uri (XSS stocat) (CWE-79) Ocolirea caracteristicii de securitate Importantă 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2025-54252
Notă:

Dacă un client utilizează Apache httpd într-un proxy cu o configurație diferită de cea implicită, acesta poate fi afectat de CVE-2023-25690 – citiți mai multe aici: https://httpd.apache.org/security/vulnerabilities_24.html

Mențiuni

Adobe dorește să transmită mulțumiri următorilor pentru raportarea acestor probleme și pentru colaborarea cu Adobe în scopul protejării clienților noștri: 

  • Dylan Pindur și Adam Kues (Assetnote) - CVE-2025-54246, CVE-2025-54247, CVE-2025-54248, CVE-2025-54249, CVE-2025-54250, CVE-2025-54251, CVE-2025-54252

NOTĂ: Adobe are un program public de recompensă pentru erori, cu HackerOne. Dacă sunteți interesat să colaborați cu Adobe în calitate de cercetător extern în domeniul securității, vă rugăm să ne contactați aici: https://hackerone.com/adobe

 

 

Revizii

30 septembrie 2025 -- Actualizat șirul Vector CVSS de la CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N la CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N pentru CVE-2025-54251


Pentru mai multe informații, vizitați https://helpx.adobe.com/ro/security.html sau trimiteți e-mail la PSIRT@adobe.com.

Adobe, Inc.

Obțineți ajutor mai rapid și mai ușor

Utilizator nou?