Adobeは火曜日に、同社のソフトウェア製品に影響を与える合計254件のセキュリティ欠陥に対処するセキュリティアップデートを公開しました。その大部分はExperience Manager (AEM) に影響を及ぼしています。
254件の欠陥のうち、225件はAEMに存在し、AEM Cloud Service (CS) およびバージョン6.5.22以前のすべてのバージョンに影響を与えます。これらの問題はAEM Cloud Service Release 2025.5およびバージョン6.5.23で解決されています。
「これらの脆弱性を悪用されると、任意のコード実行、権限昇格、セキュリティ機能のバイパスが発生する可能性があります」とAdobeはアドバイザリで述べています。
225件の脆弱性のほぼすべてがクロスサイトスクリプティング(XSS)脆弱性として分類されており、特に保存型XSSとDOMベースのXSSの混合であり、任意のコード実行を達成するために悪用される可能性があります。
Adobeは、XSSの欠陥を発見し報告したセキュリティ研究者であるJim Green (green-jam)、Akshay Sharma (anonymous_blackzero)、およびlpiに感謝の意を表しています。
今月のアップデートの一環として同社が修正した欠陥の中で最も深刻なものは、Adobe CommerceおよびMagento Open Sourceのコード実行欠陥に関するものです。
重大な評価を受けた脆弱性、CVE-2025-47110 (CVSSスコア: 9.1) は、任意のコード実行を引き起こす可能性のある反射型XSS脆弱性です。また、セキュリティ機能のバイパスにつながる可能性のある不適切な認可の欠陥(CVE-2025-43585、CVSSスコア: 8.2)も対処されています。
影響を受けるバージョンは以下の通りです –
- Adobe Commerce (2.4.8、2.4.7-p5以前、2.4.6-p10以前、2.4.5-p12以前、2.4.4-p13以前)
- Adobe Commerce B2B (1.5.2以前、1.4.2-p5以前、1.3.5-p10以前、1.3.4-p12以前、1.3.3-p13以前)
- Magento Open Source (2.4.8、2.4.7-p5以前、2.4.6-p10以前、2.4.5-p12以前)
残りのアップデートのうち、4件はAdobe InCopy (CVE-2025-30327、CVE-2025-47107、CVSSスコア: 7.8) およびSubstance 3D Sampler (CVE-2025-43581、CVE-2025-43588、CVSSスコア: 7.8) のコード実行欠陥に関連しています。
これらのバグのいずれも公に知られている、または野生で悪用されているとはリストされていませんが、ユーザーは潜在的な脅威から守るためにインスタンスを最新バージョンに更新することをお勧めします。
翻訳元: https://thehackernews.com/2025/06/adobe-releases-patch-fixing-254.html