Adobe corrige 254 vulnerabilidades y cierra brechas de seguridad de gravedad alta

Adobe lanzó actualizaciones de seguridad para abordar un total de 254 vulnerabilidades que afectan a sus productos de software, la mayoría de las cuales afectan a Experience Manager (AEM).

De las 254 vulnerabilidades, 225 residen en AEM, afectando a AEM Cloud Service (CS), así como a todas las versiones anteriores a la 6.5.22 inclusive. Los problemas se han resuelto en las versiones 2025.5 y 6.5.23 de AEM Cloud Service. «La explotación exitosa de estas vulnerabilidades podría resultar en la ejecución de código arbitrario, la escalada de privilegios y la omisión de funciones de seguridad», declaró Adobe en un aviso.

Casi todas las 225 vulnerabilidades se han clasificado como vulnerabilidades de secuencias de comandos entre sitios (XSS), específicamente una combinación de XSS almacenado y XSS basado en DOM, que podrían explotarse para lograr la ejecución de código arbitrario.

Adobe ha reconocido a los investigadores de seguridad Jim Green (green-jam), Akshay Sharma (anonymous_blackzero) y lpi por descubrir y reportar las fallas XSS.

La falla más grave corregida por la compañía como parte de la actualización de este mes se refiere a una falla de ejecución de código en AdobeCommerce y Magento Open Source. La vulnerabilidad crítica, CVE-2025-47110 (puntuación CVSS: 9.1), es una vulnerabilidad XSS reflejada que podría provocar la ejecución de código arbitrario. También se ha corregido una falla de autorización incorrecta (CVE-2025-43585, puntuación CVSS: 8.2) que podría provocar la omisión de una función de seguridad.

Las siguientes versiones se ven afectadas:

Adobe Commerce (2.4.8, 2.4.7-p5 y anteriores, 2.4.6-p10 y anteriores, 2.4.5-p12 y anteriores, y 2.4.4-p13 y anteriores)
Adobe Commerce B2B (1.5.2 y anteriores, 1.4.2-p5 y anteriores, 1.3.5-p10 y anteriores, 1.3.4-p12 y anteriores, y 1.3.3-p13 y anteriores)
Magento Open Source (2.4.8, 2.4.7-p5 y anteriores, 2.4.6-p10 y anteriores, 2.4.5-p12 y anteriores)

De las actualizaciones restantes, cuatro están relacionadas con fallos de ejecución de código en Adobe InCopy (CVE-2025-30327, CVE-2025-47107, CVSS) Puntuación: 7.8) y Substance 3D Sampler (CVE-2025-43581, CVE-2025-43588, puntuación CVSS: 7.8).

Si bien ninguno de los errores se ha registrado como de conocimiento público ni se ha explotado de forma activa, se recomienda a los usuarios que actualicen sus instancias a la última versión para protegerse contra posibles amenazas.

Fuente y redacción: segu-info.com.ar

Fallo de Apache ActiveMQ explotado en nuevos ataques de Godzilla Web Shell

El mercado clandestino de tarjetas BidenCash filtró 2 millones de tarjetas de crédito.

Falla en Office (aún sin parche) expone los hashes NTLM