Adobe pada hari Selasa mendorong pembaruan keamanan untuk mengatasi total 254 kelemahan keamanan yang berdampak pada produk perangkat lunaknya, yang sebagian besar mempengaruhi Manajer Pengalaman (AEM).
Dari 254 kekurangan, 225 berada di AEM, memengaruhi AEM Cloud Service (CS) serta semua versi sebelum dan termasuk 6.5.22. Masalah telah diselesaikan dalam rilis layanan cloud AEM 2025.5 dan versi 6.5.23.
“Eksploitasi yang berhasil dari kerentanan ini dapat mengakibatkan eksekusi kode sewenang -wenang, eskalasi hak istimewa, dan bypass fitur keamanan,” kata Adobe dalam penasihat.
Hampir semua 225 kerentanan telah diklasifikasikan sebagai kerentanan scripting lintas-situs (XSS), khususnya campuran XSS yang tersimpan dan XSS berbasis DOM, yang dapat dieksploitasi untuk mencapai eksekusi kode sewenang-wenang.
Adobe telah memuji peneliti keamanan Jim Green (Green-Jam), Akshay Sharma (Anonymous_Blackzero), dan LPI untuk menemukan dan melaporkan kekurangan XSS.
Kelemahan yang paling parah ditambal oleh perusahaan sebagai bagian dari pembaruan bulan ini menyangkut cacat eksekusi kode dalam Adobe Commerce dan Magento Open Source.
Kerentanan yang dinilai kritis, CVE-2025-47110 (skor CVSS: 9.1) adalah kerentanan XSS yang tercermin yang dapat mengakibatkan eksekusi kode sewenang-wenang. Juga ditangani adalah cacat otorisasi yang tidak tepat (CVE-2025-43585, skor CVSS: 8.2) yang dapat menyebabkan bypass fitur keamanan.
Versi berikut terkena dampak –
- Adobe Commerce (2.4.8, 2.4.7-p5 dan sebelumnya, 2.4.6-p10 dan sebelumnya, 2.4.5-p12 dan sebelumnya, dan 2.4.4-p13 dan sebelumnya)
- Adobe Commerce B2B (1.5.2 dan sebelumnya, 1.4.2-p5 dan sebelumnya, 1.3.5-p10 dan sebelumnya, 1.3.4-p12 dan sebelumnya, dan 1.3.3-p13 dan sebelumnya)
- Magento Open Source (2.4.8, 2.4.7-p5 dan sebelumnya, 2.4.6-p10 dan sebelumnya, 2.4.5-p12 dan sebelumnya)
Dari pembaruan yang tersisa, empat berhubungan dengan kelemahan eksekusi kode pada Adobe Incopy (CVE-2025-30327, CVE-2025-47107, skor CVSS: 7.8) dan Substance 3D Sampler (CVE-2025-43581, CVE-2025-43588, CVS.8).
Sementara tidak ada bug yang terdaftar sebagai yang diketahui publik atau dieksploitasi di alam liar, pengguna disarankan untuk memperbarui contoh mereka ke versi terbaru untuk melindungi terhadap potensi ancaman.
