Kritické bezpečnostné zraniteľnosti v produktoch Adobe

Spoločnosť Adobe vydala bezpečnostné aktualizácie na svoje produkty Adobe Photoshop, Adobe Substance3D Stager, Adobe Illustrator for iPad, Adobe Animate, Adobe Substance3D Designer, ktoré opravujú 14 kritických zraniteľností. Uvedené zraniteľnosti by vzdialený neautentifikovaný útočník prostredníctvom podvrhnutia špeciálne vytvorených súborov mohol zneužiť na vykonanie škodlivého kódu.

Zraniteľné systémy:

• Adobe Photoshop 2025 v 26.1 a staršie
• Adobe Photoshop 2024 v 25.12 a staršie
• Adobe Substance 3D Stager v  3.0.4 a staršie
• Adobe Illustrator on iPad v 3.0.7 a staršie
• Adobe Animate  2023 v 23.0.9 a staršie
• Adobe Animate  2024 v 24.0.6 a staršie
• Adobe Substance 3D Designer v 14.0 a staršie

Opis zraniteľnosti:

Adobe Photoshop:

CVE-2025-21127 (CVSS skóre 7,3), CVE-2025-21122 (CVSS skóre 7,8)

Kritické zraniteľnosti v produkte Adobe Photoshop spočívajú v podtečení celočíselnej premennej (CVE-2025-21122) a absencii overovania vyhľadávacích ciest (CVE-2025-21127) a podvrhnutím špeciálne vytvorených súborov ich možno zneužiť na vykonanie škodlivého kódu.

Adobe Substance 3D Stager:

CVE-2025-21128, CVE-2025-21129, CVE-2025-21130, CVE-2025-21131, CVE-2025-21132 (CVSS skóre 7,8)

Zraniteľnosti spočívajúce v možnosti zápisu do pamäte mimo povolených hodnôt (CVE-2025-21130, CVE-2025-21131, CVE-2025-21132), pretečení medzipamäte haldy (CVE-2025-21129) a pretečení vyrovnávacej pamäte zásobníka (CVE-2025-21128) umožňujú vykonanie škodlivého kódu.

Adobe Illustrator on iPad:

CVE-2025-21133, CVE-2025-21134 (CVSS skóre 7,8)

Obe zraniteľnosti spočívajú v podtečení celočíselnej premennej v rámci produktu Adobe Illustrator on iPad možno zneužiť na vykonanie škodlivého kódu.

Adobe Animate:

CVE-2025-21135 (CVSS skóre 7,8)

Podtečenie celočíselnej premennej možno zneužiť na vykonanie škodlivého kódu.

Adobe Substance 3D Designer:

CVE-2025-21136, CVE-2025-21137, CVE-2025-21138, CVE-2025-21139 (CVSS skóre 7,8)

Zraniteľnosti spočívajúce v povolení zápisu do pamäte mimo povolených hodnôt (CVE-2025-21136, CVE-2025-21138) a pretečení medzipamäte haldy (CVE-2025-21137, CVE-2025-21139) umožňujú vykonanie škodlivého kódu.

Zneužitie vyššie uvedených zraniteľností vyžaduje interakciu zo strany používateľa, ktorý musí stiahnuť a otvoriť špeciálne vytvorené súbory.

Možné škody:

• Vykonanie škodlivého kódu

Odporúčania:

Odporúčame vykonať bezodkladnú aktualizáciu zasiahnutých systémov aspoň na verzie:

• Adobe Photoshop 2025 v 26.2
• Adobe Photoshop 2024 v 25.12.1
• Adobe Substance 3D Stager v 3.1.0
• Adobe Illustrator on iPad v 3.0.8
• Adobe Animate  2023 v 23.0.10
• Adobe Animate  2024 v 24.0.7
• Adobe Substance 3D Designer v 14.1

Zároveň odporúčame poučiť používateľov, aby neotvárali správy a prílohy z neznámych a nedôveryhodných zdrojov.

Zdroje:

• https://helpx.adobe.com/security/products/photoshop/apsb25-02.html
• https://helpx.adobe.com/security/products/substance3d_stager/apsb25-03.html
• https://helpx.adobe.com/security/products/illustrator-mobile-ios/apsb25-04.html
• https://helpx.adobe.com/security/products/animate/apsb25-05.html
• https://helpx.adobe.com/security/products/substance3d_designer/apsb25-06.html