Adobe empujó el martes las actualizaciones de seguridad para abordar un total de 254 defectos de seguridad que afectan sus productos de software, la mayoría de los cuales afectan el Gerente de Experiencia (AEM).
De los 254 fallas, 225 residen en AEM, impactando el Servicio de Cloud de AEM (CS), así como todas las versiones anteriores e incluyendo 6.5.22. Los problemas se han resuelto en AEM Cloud Service Release 2025.5 y la versión 6.5.23.
«La explotación exitosa de estas vulnerabilidades podría dar lugar a una ejecución de código arbitraria, una escalada de privilegios y un bypass de características de seguridad», dijo Adobe en un aviso.
Casi todas las 225 vulnerabilidades se han clasificado como vulnerabilidades de secuencias de comandos de sitios cruzados (XSS), específicamente una combinación de XSS almacenados y XS basados en DOM, que podrían explotarse para lograr la ejecución del código arbitrario.
Adobe ha acreditado a los investigadores de seguridad Jim Green (Green-Jam), Akshay Sharma (Anónimo_Blackzero) y LPI para descubrir e informar los fallas XSS.
El más severo de los defectos parcheados por la compañía como parte de la actualización de este mes se refiere a una falla de ejecución de código en Adobe Commerce y Magento Open Source.
La vulnerabilidad con calificación crítica, CVE-2025-47110 (puntaje CVSS: 9.1) es una vulnerabilidad XSS reflejada que podría dar lugar a la ejecución de código arbitraria. También se aborda una falla de autorización inadecuada (CVE-2025-43585, puntaje CVSS: 8.2) que podría conducir a una característica de seguridad de derivación.
Las siguientes versiones se ven afectadas –
- Adobe Commerce (2.4.8, 2.4.7-P5 y anterior, 2.4.6-p10 y anterior, 2.4.5-p12 y antes, y 2.4.4-p13 y antes)
- Adobe Commerce B2B (1.5.2 y anterior, 1.4.2-P5 y anterior, 1.3.5-P10 y anterior, 1.3.4-p12 y antes, y 1.3.3-P13 y anterior)
- Magento Open Source (2.4.8, 2.4.7-P5 y antes, 2.4.6-P10 y antes, 2.4.5-P12 y antes)
De las actualizaciones restantes, cuatro se relacionan con las fallas de ejecución de código en Adobe Incopy (CVE-2025-30327, CVE-2025-47107, CVSS Standores: 7.8) y sustancias 3D Sampler (CVE-2025-43581, CVE-2025-43588, puntajes CVSS: 7.8).
Si bien ninguno de los errores ha sido listado como conocido públicamente o explotado en la naturaleza, se aconseja a los usuarios que actualicen sus instancias a la última versión para salvaguardar contra posibles amenazas.