Adobe ha rilasciato martedì aggiornamenti di sicurezza per risolvere un totale di 254 vulnerabilità che interessano i suoi prodotti software, la maggior parte delle quali riguarda Experience Manager (AEM). Di queste 254 vulnerabilità, 225 risiedono in AEM, influenzando AEM Cloud Service (CS) e tutte le versioni precedenti e incluse la 6.5.22. I problemi sono stati risolti in AEM Cloud Service Release 2025.5 e nella versione 6.5.23.
Vulnerabilità di cross-site scripting (XSS)
Quasi tutte le 225 vulnerabilità sono state classificate come vulnerabilità di cross-site scripting (XSS), in particolare una combinazione di XSS memorizzato e XSS basato su DOM, che potrebbero essere sfruttate per eseguire codice arbitrario. Adobe ha riconosciuto i ricercatori di sicurezza Jim Green (green-jam), Akshay Sharma (anonymous_blackzero) e lpi per la scoperta e la segnalazione delle vulnerabilità XSS.
Flaw di esecuzione di codice in Adobe Commerce e Magento Open Source
La vulnerabilità più grave risolta dall’azienda come parte dell’aggiornamento di questo mese riguarda un flaw di esecuzione di codice in Adobe Commerce e Magento Open Source. La vulnerabilità, classificata come critica, CVE-2025-47110 (punteggio CVSS: 9.1), è una vulnerabilità XSS riflessa che potrebbe portare all’esecuzione di codice arbitrario. È stato inoltre risolto un flaw di autorizzazione impropria (CVE-2025-43585, punteggio CVSS: 8.2) che potrebbe portare a un bypass delle funzionalità di sicurezza.
Versioni interessate
Le seguenti versioni sono interessate: Adobe Commerce (2.4.8, 2.4.7-p5 e precedenti, 2.4.6-p10 e precedenti, 2.4.5-p12 e precedenti, e 2.4.4-p13 e precedenti), Adobe Commerce B2B (1.5.2 e precedenti, 1.4.2-p5 e precedenti, 1.3.5-p10 e precedenti, 1.3.4-p12 e precedenti, e 1.3.3-p13 e precedenti), Magento Open Source (2.4.8, 2.4.7-p5 e precedenti, 2.4.6-p10 e precedenti, 2.4.5-p12 e precedenti).
Altri aggiornamenti di sicurezza
Degli aggiornamenti rimanenti, quattro riguardano flaw di esecuzione di codice in Adobe InCopy (CVE-2025-30327, CVE-2025-47107, punteggi CVSS: 7.8) e Substance 3D Sampler (CVE-2025-43581, CVE-2025-43588, punteggi CVSS: 7.8). Sebbene nessuno dei bug sia stato segnalato come noto pubblicamente o sfruttato in natura, si consiglia agli utenti di aggiornare le loro istanze all’ultima versione per proteggersi da potenziali minacce.
Fonte: The Hackers News
