شرکت ادوبی روز سهشنبه با انتشار بهروزرسانیهای امنیتی گسترده، ۲۵۴ آسیبپذیری در محصولات نرمافزاری خود را برطرف کرد. سهم عمدهای از این آسیبپذیریها به Experience Manager مربوط میشود.
بر اساس گزارش منتشرشده، ۲۲۵ مورد از این آسیبپذیریها در AEM Cloud Service و نسخههای پیش از 6.5.22 وجود داشتند که اکنون در نسخه 6.5.23 و انتشار نسخه 2025.5 خدمات ابری AEM اصلاح شدهاند. ادوبی هشدار داده بود که سوءاستفاده از این حفرهها میتواند به اجرای کد، افزایش سطح دسترسی و دور زدن سازوکارهای امنیتی منجر شود.
بیشتر این آسیبپذیریها از نوع XSS (تزریق اسکریپت از طریق وبگاه) هستند، بهویژه ترکیبی از XSS مبتنی بر DOM که امکان اجرای کد دلخواه در سیستم قربانی را فراهم میکند. سه پژوهشگر امنیتی شناسایی این آسیبپذیریها را بر عهده داشتهاند.
مهمترین آسیبپذیری برطرفشده در بهروزرسانی جدید، نقصی بحرانی در Adobe Commerce و نسخه متنباز Magento است که با شناسه CVE-2025-47110 و امتیاز CVSS معادل ۹.۱ شناسایی شده است. این آسیبپذیری XSS، قابلیت اجرای کد توسط مهاجم را فراهم میکند.
همچنین یک ضعف در احراز هویت (CVE-2025-43585 با امتیاز ۸.۲) نیز اصلاح شده که امکان دور زدن ویژگیهای امنیتی را فراهم میکرد.
نسخههای آسیبپذیر شامل Adobe Commerce 2.4.8 و نسخههای پایینتر، نسخههای مختلف Adobe Commerce B2B و Magento Open Source هستند.
در کنار این موارد، چهار آسیبپذیری دیگر مربوط به نرمافزارهای Adobe InCopy و Substance 3D Sampler نیز اصلاح شدهاند که همگی دارای امتیاز ۷.۸ هستند و منجر به اجرای کد از راه دور میشدند.
اگرچه تاکنون گزارشی از سوءاستفاده فعال از این آسیبپذیریها منتشر نشده، ادوبی به کاربران توصیه کرده هرچه سریعتر نسخه نرمافزارهای خود را بهروزرسانی کنند تا در برابر تهدیدهای بالقوه مصون بمانند.
توضیحات بیشتر:
Adobe Releases Patch Fixing 254 Vulnerabilities, Closing High-Severity Security Gaps