Adobeは火曜日、自社製品に存在する約140件の脆弱性に対するパッチの展開を発表しました。これには、ColdFusionおよびExperience Managerにおける重大度クリティカルのバグも含まれます。
ColdFusionには12件のセキュリティ欠陥に対する修正が提供されており、その多くは任意コード実行に悪用される可能性があります。
これらの中で最も深刻なのは、CVE-2025-61808、CVE-2025-61809、およびCVE-2025-61830(いずれもCVSSスコア9.1)であり、それぞれ「制限されていない危険なファイルアップロード」「不適切な入力検証」「信頼されていないデータのデシリアライゼーション」として説明されています。
12件すべてのバグに対する修正は、ColdFusion 2025 アップデート5、ColdFusion 2023 アップデート7、ColdFusion 2021 アップデート23に含まれています。
今月、Experience Manager(AEM)には117件の脆弱性に対する修正が提供され、そのうち116件はクロスサイトスクリプティング(XSS)の欠陥です。この中には、CVE-2025-64537およびCVE-2025-64539(CVSSスコア9.3)として追跡されている重大度クリティカルのバグ2件も含まれます。
残りの114件のXSS問題は中程度の重大度のバグです。このアップデートでは、脆弱なサードパーティコンポーネントへの依存として説明されている高重大度の欠陥も解消しています。
AEM Cloud Service リリース 2025.12、および AEM バージョン 6.5 LTS SP1(GRANITE-61551 Hotfix)と 6.5.24 により、すべてのセキュリティ欠陥が解消されます。
Adobeは、ColdFusionとAEMの両アップデートに「1」の優先度評価を付与し、ユーザーに対してできるだけ早く修正を適用するよう促しています。
同じ火曜日、同社はDNG SDKにおける高重大度2件および中程度の重大度2件のセキュリティホール、AcrobatおよびReaderにおける高重大度2件および低重大度2件の問題、さらにmacOS向けCreative Cloud Desktopにおける中程度の重大度1件の欠陥に対する修正も発表しました。
Adobeは、これらの脆弱性のいずれも、現時点では実際の攻撃で悪用されていることは把握していないと述べています。追加情報は、同社のセキュリティ勧告ページで確認できます。
翻訳元: https://www.securityweek.com/adobe-patches-nearly-140-vulnerabilities/
