Kritické bezpečnostné zraniteľnosti v produktoch Adobe

Spoločnosť Adobe vydala bezpečnostné aktualizácie na svoje produkty InDesign, Commerce, Substance 3D Stager, InCopy, Illustrator, Substance 3D Designer a Photoshop Elements, ktoré opravujú 45 zraniteľností, z čoho 23 je označených ako kritických. Kritické zraniteľnosti by útočník mohol zneužiť na vykonanie škodlivého kódu, obídenie bezpečnostných prvkov a eskaláciu privilégií.

Zraniteľné systémy:

• Adobe InDesign ID20.X vo verziách starších ako ID20.1
• Adobe InDesign ID19.X vo verziách starších ako ID19.5.2
• Adobe InCopy 20.X vo verziách starších ako 20.1
• Adobe InCopy 19.X vo verziách starších ako 19.5.2
• Adobe Illustrator 2025 29.X vo verziách starších ako 29.2.1
• Adobe Illustrator 2024 28.X vo verziách starších ako 28.7.4
• Adobe Adobe Substance 3D Designer 14.X vo verziách starších ako 14.1
• Adobe Photoshop Elements for macOS 2025.X vo verziách starších ako 2025.1 [build: 20250124.PSE.f552973b, 20250124.PSE.5345f07d (Mac ARM)]
• Adobe Substance 3D Stager 3.X vo verziách starších ako 3.1.1
• Adobe Commerce 2.4.8 vo verziách starších ako 2.4.8-beta2
• Adobe Commerce 2.4.7 vo verziách starších ako 2.4.7-p4
• Adobe Commerce 2.4.6 vo verziách starších ako 2.4.6-p9
• Adobe Commerce 2.4.5 vo verziách starších ako 2.4.5-p11
• Adobe Commerce 2.4.4 vo verziách starších ako 2.4.4-p12
• Adobe Commerce 1.5.1 vo verziách starších ako 1.5.1
• Adobe Commerce B2B 1.4.2 vo verziách starších ako 1.4.2-p4
• Adobe Commerce B2B 1.3.5 vo verziách starších ako 1.3.5-p9
• Adobe Commerce B2B 1.3.4 vo verziách starších ako 1.3.4-p11
• Adobe Commerce B2B 1.3.3 vo verziách starších ako 1.3.3-p12
• Magento Open Source  2.4.8 vo verziách starších ako 2.4.8-beta2
• Magento Open Source  2.4.7 vo verziách starších ako 2.4.7-p4
• Magento Open Source  2.4.6 vo verziách starších ako 2.4.6-p9
• Magento Open Source  2.4.5 vo verziách starších ako 2.4.5-p11
• Magento Open Source  2.4.4 vo verziách starších ako 2.4.4-p12
• Adobe Commerce and Magento Open Source bez aplikovanej záplaty pre CVE-2025-24434

Opis zraniteľnosti:

Adobe InDesign:

CVE-2025-21157, CVE-2025-21158, CVE-2025-21121,  CVE-2025-21123 (CVSS skóre 7,8)

Kritické zraniteľnosti v produkte Adobe InDesign spočívajú v podtečení celočíselnej premennej (CVE-2025-21158), zápise mimo povolené hodnoty (CVE-2025-21157, CVE-2025-21121) a pretečení medzipamäte haldy (CVE-2025-21123). Podvrhnutím špeciálne vytvorených súborov ich možno zneužiť na vykonanie škodlivého kódu.

Adobe InCopy:

CVE-2025-21156 (CVSS skóre 7,8)

Podtečenie celočíselnej premennej možno zneužiť na vzdialené vykonanie kódu s následkom úplného narušenia dôvernosti, integrity a dostupnosti systému.

Adobe Illustrator:

CVE-2025-21159, CVE-2025-21160, CVE-2025-21163 (CVSS skóre 7,8)

Zraniteľnosti spočívajúce v podtečení celočíselnej premennej (CVE-2025-21160), použití odalokovaného miesta v pamäti (CVE-2025-21159) a pretečení vyrovnávacej pamäte zásobníka (CVE-2025-21163) možno zneužiť na vzdialené vykonanie kódu.

Adobe Substance 3D Designer:

CVE-2025-21161 (CVSS skóre 7,8)

Zraniteľnosť s označením CVE-2025-21161 možno prostredníctvom zápisu mimo povolených hodnôt zneužiť na vzdialené vykonanie kódu.

Adobe Commerce:

CVE-2025-24408 (CVSS skóre 8,1); CVE-2025-24406 (CVSS skóre 7,5)

Uvedené zraniteľnosti možno prostredníctvom tzv. path traversal útokov a na základe verejne dostupných informácií systému zneužiť na eskaláciu privilégií. Zneužitie uvedených zraniteľností nevyžaduje interakciu zo strany používateľa.

CVE-2025-24434 (CVSS skóre 9,4); CVE-2025-24409 (CVSS skóre 8,2); CVE-2025-24407 (CVSS skóre 7,1);

Bližšie nešpecifikované zraniteľnosti spočívajúce v nesprávnej autorizácii možno zneužiť na eskaláciu privilégií (CVE-2025-24434) a obídenie bezpečnostných prvkov (CVE-2025-24409, CVE-2025-24407). Zneužitie uvedených zraniteľností nevyžaduje interakciu zo strany používateľa.

CVE-2025-24411 (CVSS skóre 8,8)

Nesprávne riadenie prístupov možno zneužiť na obídenie bezpečnostných prvkov a úplné narušenie dôvernosti, integrity a dostupnosti systému. Zneužitie zraniteľnosti nevyžaduje interakciu zo strany používateľa.

CVE-2025-24417, CVE-2025-24416, CVE-2025-24415, CVE-2025-24414, CVE-2025-24413, CVE-2025-24412 (CVSS skóre 8,9); CVE-2025-24438, CVE-2025-24410 (CVSS skóre 8,7)

Predmetné zraniteľnosti možno zneužiť na realizáciu perzistentných XSS útokov (stored cross-site scripting).

Ostatné zraniteľnosti:

Zneužitím ostatných vysoko závažných zraniteľností možno získať neoprávnený prístup k citlivým údajom, eskaláciu privilégií a spôsobiť zneprístupnenie služby.

Ak nie je uvedené inak, zneužitie vyššie uvedených zraniteľností vyžaduje interakciu zo strany používateľa.

Možné škody:

• Vykonanie škodlivého kódu
• Obídenie bezpečnostného prvku
• Získanie neoprávneného prístupu k citlivým údajom
• Zneprístupnenie služby
• Eskalácia privilégií

Odporúčania:

Odporúčame vykonať bezodkladnú aktualizáciu zasiahnutých systémov na verzie špecifikované v časti Zraniteľné systémy alebo na webových stránkach výrobcu uvedených v časti Zdroje. Zároveň odporúčame poučiť používateľov, aby neotvárali správy a prílohy z neznámych a nedôveryhodných zdrojov.

Zdroje:

• https://helpx.adobe.com/security/products/indesign/apsb25-01.html
• https://helpx.adobe.com/security/products/magento/apsb25-08.html
• https://helpx.adobe.com/security/products/substance3d_stager/apsb25-09.html
• https://helpx.adobe.com/security/products/incopy/apsb25-10.html
• https://helpx.adobe.com/security/products/illustrator/apsb25-11.html
• https://helpx.adobe.com/security/products/substance3d_designer/apsb25-12.html
• https://helpx.adobe.com/security/products/photoshop_elements/apsb25-13.html