Adobe empujó el martes las actualizaciones de seguridad para atracar un total de 254 defectos de seguridad que afectan sus productos de software, la mayoría de los cuales afectan el Director de Experiencia (AEM).
De los 254 fallas, 225 residen en AEM, impactando el Servicio de Cloud de AEM (CS), así como todas las versiones anteriores e incluyendo 6.5.22. Los problemas se han resuelto en AEM Cloud Service Release 2025.5 y la traducción 6.5.23.
“La explotación exitosa de estas vulnerabilidades podría dar circunstancia a una ejecución de código arbitraria, una ascensión de privilegios y un bypass de características de seguridad”, dijo Adobe en un aviso.
Casi todas las 225 vulnerabilidades se han clasificado como vulnerabilidades de secuencias de comandos de sitios cruzados (XSS), específicamente una combinación de XSS almacenados y XS basados en DOM, que podrían explotarse para conquistar la ejecución del código improcedente.
Adobe ha acreditado a los investigadores de seguridad Jim Green (Green-Jam), Akshay Sharma (Anónimo_Blackzero) y LPI para descubrir e informar los fallas XSS.
El más severo de los defectos parcheados por la compañía como parte de la modernización de este mes se refiere a una equivocación de ejecución de código en Adobe Commerce y Magento Open Source.
La vulnerabilidad con calificación crítica, CVE-2025-47110 (puntaje CVSS: 9.1) es una vulnerabilidad XSS reflejada que podría dar circunstancia a la ejecución de código arbitraria. Incluso se aborda una equivocación de autorización inadecuada (CVE-2025-43585, puntaje CVSS: 8.2) que podría conducir a una característica de seguridad de derivación.
Las siguientes versiones se ven afectadas –
- Adobe Commerce (2.4.8, 2.4.7-P5 y preliminar, 2.4.6-p10 y preliminar, 2.4.5-p12 y antaño, y 2.4.4-p13 y antaño)
- Adobe Commerce B2B (1.5.2 y preliminar, 1.4.2-P5 y preliminar, 1.3.5-P10 y preliminar, 1.3.4-p12 y antaño, y 1.3.3-P13 y preliminar)
- Magento Open Source (2.4.8, 2.4.7-P5 y antaño, 2.4.6-P10 y antaño, 2.4.5-P12 y antaño)
De las actualizaciones restantes, cuatro se relacionan con las fallas de ejecución de código en Adobe Incopy (CVE-2025-30327, CVE-2025-47107, CVSS Standores: 7.8) y sustancias 3D Sampler (CVE-2025-43581, CVE-2025-43588, puntajes CVSS: 7.8).
Si perfectamente nadie de los errores ha sido relación como conocido públicamente o explotado en la naturaleza, se aconseja a los usuarios que actualicen sus instancias a la última traducción para asegurar contra posibles amenazas.
