Идентификатор бюллетеня
Последнее обновление
7 окт. 2025 г.
Обновления безопасности для Adobe Experience Manager | APSB25-90
|
|
Дата публикации |
Приоритет |
|---|---|---|
|
APSB25-90 |
9 сентября 2025 г. |
3 |
Сводка
Компания Adobe выпустила обновления для Adobe Experience Manager (AEM). В этих обновлениях устранены уязвимости, которые классифицируются как критические и важные. Эксплуатация этих уязвимостей может привести к обходу функций безопасности.
Adobe не имеет информации о свободном характере использования этих проблем в данных обновлениях.
Затрагиваемые версии продуктов
| Продукт | Версия | Платформа |
|---|---|---|
| Adobe Experience Manager (АЕМ) |
AEM Cloud Service (CS) |
Все |
6.5 LTS SP1 и более ранние версии 6.5.23 и более ранние версии |
Все |
Решение
Компания Adobe категоризирует эти обновления при помощи следующих рейтингов приоритета и рекомендует пользователям обновлять установленное программное обеспечение до последних версий:
Product |
Версия |
Платформа |
Важность |
Доступность |
|---|---|---|---|---|
| Adobe Experience Manager (AEM) |
AEM Cloud Service, выпуск 2025.9 | Все | 3 | Сведения о выпуске |
| Adobe Experience Manager (AEM) | 6.5 LTS SP1 (GRANITE-61551 Hotfix) | Все | 3 | Сведения о выпуске |
| Adobe Experience Manager (AEM) | 6.5.23 (GRANITE-61551 Hotfix) | Все | 3 | Сведения о выпуске |
Примечание.
Пользователи Cloud Service Adobe Experience Manager автоматически получат обновления, включающие новые функции, а также обновления системы безопасности и исправления ошибок в функциональности.
Примечание.
Меры предосторожности Experience Manager
Меры предосторожности в отношении AEM as a Cloud Service
Пакет усиления защиты анонимных разрешений
Примечание.
Для получения помощи с AEM версий 6.4, 6.3 и 6.2 обратитесь в отдел обслуживания клиентов компании Adobe.
Сведения об уязвимости
| Категория уязвимости |
Влияние уязвимости |
Серьезность |
Базовая оценка CVSS |
Вектор CVSS |
Номер CVE |
| Неправильная проверка ввода (CWE-20) | Обход функции безопасности | Критическая | 7,7 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:N/A:N | CVE-2025-54248 |
| Некорректная авторизация (CWE-863) | Обход функции безопасности | Важная | 6.5 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:N | CVE-2025-54246 |
| Неправильная проверка ввода (CWE-20) | Обход функции безопасности | Важная | 6.5 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N | CVE-2025-54247 |
| Подделка запросов на сервере (SSRF) (CWE-918) | Обход функции безопасности | Важная | 6.5 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N | CVE-2025-54249 |
| Неправильная проверка ввода (CWE-20) | Обход функции безопасности | Важная | 4.9 | CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:H/A:N | CVE-2025-54250 |
| XML Injection (или слепая Blind XPath Injection) (CWE-91) | Обход функции безопасности | Важная | 4.3 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N | CVE-2025-54251 |
| Межсайтовый скриптинг (сохраненный) (CWE-79) | Обход функции безопасности | Важная | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2025-54252 |
Примечание.
Если клиент использует Apache httpd в прокси-сервере с нестандартной конфигурацией, он может быть подвержен уязвимости CVE-2023-25690, подробнее см. здесь: https://httpd.apache.org/security/vulnerabilities_24.html
Благодарности
Компания Adobe выражает благодарность следующим лицам за сообщение об этих проблемах и за помощь Adobe в защите наших клиентов:
- Дилан Пиндур и Адам Кьюс (Assetnote) - CVE-2025-54246, CVE-2025-54247, CVE-2025-54248, CVE-2025-54249, CVE-2025-54250, CVE-2025-54251, CVE-2025-54252
ПРИМЕЧАНИЕ: Adobe имеет частную программу Bug bounty с HackerOne. Если вы заинтересованы в сотрудничестве с Adobe в качестве внешнего исследователя безопасности, зайдите на наш сайт: https://hackerone.com/adobe
Редакции
30 сентября 2025 г. — по CVE-2025-54251 строка вектора CVSS CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N заменена на CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N
Для получения дополнительной информации посетите сайт https://helpx.adobe.com/ru/security.html или отправьте сообщение по адресу PSIRT@adobe.com.
