Adobe周二推送了安全更新,以解决影响其软件产品的254个安全漏洞,其中大部分影响了Experience Manager(AEM)。

在254个缺陷中,225个位于AEM,影响AEM云服务(CS)以及之前的所有版本,包括6.5.22。问题已在 AEM Cloud Service Release 2025.5 和 6.5.23 版本中得到解决。

“成功利用这些漏洞可能导致任意执行代码,权限升级和安全功能绕过,”Adobe在一份咨询中说。

几乎所有225个漏洞都被归类为跨站点脚本(XSS)漏洞,特别是存储的XSS和基于DOM的XSS的混合,可以利用这些漏洞来实现任意代码执行。

Adobe认为安全研究人员Jim Green(绿色干扰),Akshay Sharma(匿名_blackzero)和lpi发现并报告了XSS漏洞。

作为本月更新的一部分,该公司修补的最严重的缺陷涉及Adobe Commerce和Magento Open Source中的代码执行漏洞。

关键级别的漏洞CVE-2025-47110(CVSS评分:9.1)是一个反映的XSS漏洞,可能导致任意代码执行。还解决了不当授权缺陷(CVE-2025-43585,CVSS评分:8.2),可能导致安全功能绕过。

以下版本受到影响 –

• ①Adobe Commerce (2.4.8, 2.4.7-p5 及更早版本, 2.4.6-p10 及更早版本, 2.4.5-p12 及更早版本,2.4.4-p13 及更早版本)
• ②Adobe Commerce B2B(1.5.2及更早,1.4.2-p5及更早,1.3.5-p10及更早,1.3.4-p12及更早版本,1.3.3-p13及更早)
• ③Magento开源(2.4.8,2.4.7-p5及更早,2.4.6-p10及更早,2.4.5-p12及更早)
  

在剩余的更新中,有四个涉及Adobe InCopy(CVE-2025-30327,CVE-2025-47107,CVSS评分:7.8)和Substance 3D Sampler(CVE-2025-43581,CVE-2025-43588,CVSS评分:7.8)中的代码执行缺陷。

虽然没有一个错误被列为在野外公开或被利用,但建议用户将其实例更新到最新版本,以防止潜在威胁。