Adobe назвала 254 причины, чтобы срочно обновить свой софт

Adobe AEM Magento XSS CVE-2025-47110 уязвимость обновление
Adobe назвала 254 причины, чтобы срочно обновить свой софт
Adobe AEM Magento XSS CVE-2025-47110 уязвимость обновление

Magento выглядела вполне нормально, пока в ней не нашли способ запускать произвольный код.

image

Adobe выпустила масштабное обновление безопасности , закрывающее сразу 254 уязвимости в своих продуктах. Подавляющее большинство — 225 уязвимостей — были обнаружены в Adobe Experience Manager (AEM), включая облачную версию Cloud Service и все сборки до и включая версию 6.5.22. Проблемы были устранены в релизе AEM Cloud Service 2025.5 и версии 6.5.23.

По данным компании, успешная эксплуатация этих уязвимостей может привести к выполнению произвольного кода, повышению привилегий и обходу механизмов защиты. При этом почти все обнаруженные проблемы классифицированы как XSS — в частности, речь идёт о хранимых XSS и DOM-ориентированных XSS-атаках. Эти типы уязвимостей позволяют внедрять вредоносный JavaScript-код, который будет выполняться в браузере жертвы при взаимодействии с заражённым контентом.

Исследованиями и сообщением об уязвимостях в AEM занимались специалисты под псевдонимами Jim Green (green-jam), Akshay Sharma (anonymous_blackzero) и lpi, чьи отчёты помогли Adobe вовремя устранить риски.

Однако наиболее критическая уязвимость этого раунда исправлений затронула не AEM, а Adobe Commerce и Magento Open Source. Уязвимость CVE-2025-47110 получила высокий балл 9.1 по шкале CVSS и представляет собой уязвимость типа Reflected XSS , через которую также возможно выполнение произвольного кода. Дополнительно была устранена проблема CVE-2025-43585 с оценкой 8.2 — ошибка авторизации, которая позволяет обойти механизмы защиты.

Атакам подвержены следующие версии продуктов:

  • Adobe Commerce: версии 2.4.8, 2.4.7-p5 и более ранние, 2.4.6-p10 и более ранние, 2.4.5-p12 и более ранние, 2.4.4-p13 и более ранние;
  • Adobe Commerce B2B: версии 1.5.2 и более ранние, 1.4.2-p5 и более ранние, 1.3.5-p10 и более ранние, 1.3.4-p12 и более ранние, 1.3.3-p13 и более ранние;
  • Magento Open Source: версии 2.4.8, 2.4.7-p5 и более ранние, 2.4.6-p10 и более ранние, 2.4.5-p12 и более ранние.

Кроме того, компания закрыла по две уязвимости с возможностью выполнения кода в Adobe InCopy ( CVE-2025-30327 и CVE-2025-47107 ) и в Substance 3D Sampler ( CVE-2025-43581 и CVE-2025-43588 ). Все они имеют уровень опасности 7.8 по CVSS и представляют собой потенциальную угрозу при открытии специально сформированных файлов.

На момент публикации информации ни одна из уязвимостей не была публично раскрыта или использована в атаках, однако Adobe настоятельно рекомендует пользователям немедленно обновить программное обеспечение до актуальных версий, чтобы предотвратить возможные инциденты.

Хакеры ненавидят этот канал!

Спойлер: мы раскрываем их любимые трюки

Расстройте их планы — подпишитесь