Adobe Releases Patch Fixing 254 Vulnerabilities, Closing High-Severity Security Gaps
2025/06/10 TheHackerNews — 6月10日 (火) に Adobe は、ソフトウェア製品に影響を与える合計で 254件のセキュリティ脆弱性に対処する、セキュリティ・アップデートを公開した。これらの脆弱性の大部分は、Adobe Experience Manager (AEM) に影響するものだ。254件の脆弱性のうち、225件は AEM に存在し、AEM Cloud Service (CS) とバージョン 6.5.22 以下に影響を及ぼす。すでに Adobe は、AEM Cloud Service Release 2025.5 および バージョン6.5.23 で、これらの問題を修正している。
Adobe のアドバイザリには、「これらの脆弱性が悪用されると、任意のコード実行/権限昇格/セキュリティ機能のバイパスにいたる可能性がある」と記されている。
225件の脆弱性の大半が、クロスサイト・スクリプティング (XSS) の欠陥に分類されている。具体的には、蓄積型 XSS と DOM ベースの XSS が混在しており、任意のコード実行に悪用される可能性があるという。
この XSS 脆弱性を発見/報告した、セキュリティ研究者の Jim Green (green-jam)/Akshay Sharma (anonymous_blackzero)/lpi に対して、Adobe は謝意を示している。
今月のアップデートで、Adobe が修正した脆弱性の中で、最も深刻なものは AdobeCommerce と Magento Open Source に存在するコード実行の欠陥である。
この脆弱性 CVE-2025-47110 (CVSS:9.1:Critical) は、任意のコード実行につながる可能性のある 反射型 XSS の欠陥である。また、セキュリティ機能のバイパスにつながる、不適切な認証の脆弱性 CVE-2025-43585 (CVSS:8.2) も修正されている。
影響を受けるバージョンは以下のとおりである:
- Adobe Commerce (2.4.8, 2.4.7-p5 and earlier, 2.4.6-p10 and earlier, 2.4.5-p12 and earlier, and 2.4.4-p13 and earlier)
- Adobe Commerce B2B (1.5.2 and earlier, 1.4.2-p5 and earlier, 1.3.5-p10 and earlier, 1.3.4-p12 and earlier, and 1.3.3-p13 and earlier)
- Magento Open Source (2.4.8, 2.4.7-p5 and earlier, 2.4.6-p10 and earlier, 2.4.5-p12 and earlier)
今回のアップデートに含まれる残りの4件は、Adobe InCopy のコード実行脆弱性 CVE-2025-30327/CVE-2025-47107 (CVSS:7.8) に関連するものと、Substance 3D Sampler に関連する CVE-2025-43581/CVE-2025-43588 (CVSS:7.8) である。
これらのバグは、公知のものではなく、また、実環境で悪用されたものでもない。ただし、ユーザーに対して強く推奨されるのは、インスタンスを最新バージョンに更新し、潜在的な脅威から身を守ることである。
Adobe が、一度に 254件もの脆弱性を修正するという、ちょっと珍しい状況が生じています。それらの大半は、XSS の脆弱性であり、AEMに集中しているようです。Web アプリ層での検証/サニタイズは重要ですね。ご利用のチームは、ご注意ください。よろしければ、Adobe で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.