Kritické bezpečnostné zraniteľnosti v produktoch Adobe

Spoločnosť Adobe vydala bezpečnostné aktualizácie na svoje produkty ColdFusion, After Effects, Media Encoder, Bridge, Experience Manager (AEM) Forms on JEE, Premiere Pro, Photoshop, Animate, Experience Manager (AEM) Screens, FrameMaker, XMP-Toolkit-SDK, Commerce, Commerce  B2B a Magento Open Source, ktoré opravujú 58 zraniteľností, z čoho 28 je označených ako kritické. Najzávažnejšie kritické zraniteľnosti by vzdialený útočník mohol zneužiť na získanie neoprávneného prístupu k citlivým údajom a vykonanie škodlivého kódu.

Zraniteľné systémy:

• Adobe ColdFusion 2025 vo verziách starších ako Update 1
• Adobe ColdFusion 2023 vo verziách starších ako Update 13
• Adobe ColdFusion 2021 vo verziách starších ako Update 19
• Adobe After Effects 24.6.X vo verziách starších ako 24.6.5
• Adobe After Effects 25.X vo verziách starších ako 25.2
• Adobe Media Encoder 24.6.X vo verziách starších ako 24.6.5
• Adobe Media Encoder 25.X vo verziách starších ako 25.2
• Adobe Bridge 14.1.X vo verziách starších ako 14.1.6
• Adobe Bridge 15.0.X vo verziách starších ako 15.0.3
• Adobe Experience Manager (AEM) Forms on JEE vo verziách starších ako 6.5.22.0 (AEMForms-6.5.0-0095)
• Adobe Premiere Pro 24.6.X vo verziách starších ako 24.6.5
• Adobe Premiere Pro 25.X vo verziách starších ako 25.2
• Adobe Photoshop 2025 vo verziách starších ako 26.5
• Adobe Photoshop 2024 vo verziách starších ako 25.12.2
• Adobe Animate  2023 vo verziách starších ako 23.0.11
• Adobe Animate  2024 vo verziách starších ako 24.0.8
• Adobe Experience Manager (AEM) Screens vo verziách starších ako AEM 6.5 Screens FP11.4
• Adobe FrameMaker 2020 vo verziách starších ako Update 8
• Adobe FrameMaker 2022 vo verziách starších ako Update 6
• Adobe XMP-Toolkit-SDK vo verziách starších ako 2025.03
• Adobe Commerce vo verziách starších ako 2.4.8
• Adobe Commerce 2.4.7-XXvo verziách starších ako 2.4.7-p5
• Adobe Commerce 2.4.6-XX vo verziách starších ako 2.4.6-p10
• Adobe Commerce 2.4.5-XX vo verziách starších ako 2.4.5-p12
• Adobe Commerce 2.4.4-XX vo verziách starších ako 2.4.4-p13
• Adobe Commerce B2B vo verziách starších ako 1.5.2
• Adobe Commerce B2B 1.4.2-XX vo verziách starších ako 1.4.2-p5
• Adobe Commerce B2B 1.3.5-XX vo verziách starších ako 1.3.5-p10
• Adobe Commerce B2B 1.3.4-XX vo verziách starších ako 1.3.4-p12
• Adobe Commerce B2B 1.3.3-XX vo verziách starších ako 1.3.3-p13
• Magento Open Source vo verziách starších ako 2.4.8
• Magento Open Source 2.4.7-XX vo verziách starších ako 2.4.7-p5
• Magento Open Source 2.4.6-XX vo verziách starších ako 2.4.6-p10
• Magento Open Source 2.4.5-XX vo verziách starších ako 2.4.5-p12
• Magento Open Source 2.4.4-XX vo verziách starších ako 2.4.4-p13

Opis zraniteľnosti:

Adobe ColdFusion:

CVE-2025-24447, CVE-2025-30282 (CVSS skóre 9,1); CVE-2025-30287 (CVSS skóre 8,1); CVE-2025-30284, CVE-2025-30285, CVE-2025-30286 (CVSS skóre 8,0); CVE-2025-30289 (CVSS skóre 7,5)

Kritické zraniteľnosti spočívajú v deserializácii nedôveryhodných dát (CVE-2025-24447, CVE-2025-30284, CVE-2025-30285), nesprávnej autentifikácii (CVE-2025-30282, CVE-2025-30287) a nedostatočnej neutralizácii špeciálnych elementov v rámci príkazov operačného systému (CVE-2025-30286, CVE-2025-30289). Vzdialený útočník by ich mohol zneužiť na vykonanie škodlivého kódu.

CVE-2025-24446, CVE-2025-30281 (CVSS skóre 9,1)

Kritické zraniteľnosti v produkte Adobe Coldfusion spočívajú v nedostatočnom overovaní používateľských vstupov (CVE-2025-24446) a nesprávnom riadení prístupu (CVE-2025-30281). Vzdialený autentifikovaný používateľ by ich mohol zneužiť na čítanie obsahu ľubovoľných súborov na súborovom systéme a získanie neoprávneného prístupu k citlivým údajom.

CVE-2025-30290 (CVSS skóre 7,8), CVE-2025-30288 (CVSS skóre 7,8)

Zraniteľnosti spočívajúce v nesprávnom riadení prístupu (CVE-2025-30288) a nesprávnom limitovaní prístupov k priečinkom s obmedzeným prístupom (eng. Restricted Directories) (CVE-2025-30290) by útočník mohol zneužiť na obídenie bezpečnostných prvkov a narušenie dôvernosti, integrity a dostupnosti systému.

Adobe After Effects:

CVE-2025-27182, CVE-2025-27183 (CVSS skóre 7,8)

Zraniteľnosti spočívajúce v použití v zápise mimo povolených hodnôt pamäte umožňujú vykonanie škodlivého kódu.

Adobe Media Encoder:

CVE-2025-27194, CVE-2025-27195 (CVSS skóre 7,8)

CVE-2025-27194 spočíva v zápise mimo povolených hodnôt v pamäti a CVE-2025-27195 v pretečením medzipamäte haldy. Obe zraniteľnosti by vzdialený neautentifikovaný útočník podvrhnutím špeciálne vytvorených súborov mohol zneužiť na vzdialené vykonanie kódu.

Adobe Bridge:

CVE-2025-27193 (CVSS skóre 7,8)

Pretečenie medzipamäte haldy v produkte Adobe Bridge možno zneužiť na vykonanie škodlivého kódu.

Adobe Experience Manager Forms:

CVE-2024-38819, CVE-2024-38820 (CVSS skóre 7,5)

Zraniteľnosti v externom frameworku Spring možno zneužiť na získanie neoprávneného prístupu k citlivým údajom.

Adobe Premiere Pro:

CVE-2025-27196 (CVSS skóre 7,8)

Zraniteľnosť s identifikátorom CVE-2025-27196 spočíva v pretečení medzipamäte haldy a vzdialený neautentifikovaný útočník by ju mohol zneužiť na vzdialené vykonanie kódu. Zneužitie zraniteľnosti vyžaduje interakciu zo strany používateľa, ktorý musí otvoriť špeciálne vytvorený súbor.

Adobe Animate:

CVE-2025-27199, CVE-2025-27200 (CVSS skóre 7,8)

Pretečenie medzipamäte haldy (CVE-2025-27199) a použitie odalokovaného miesta v pamäti (CVE-2025-27200) možno zneužiť na vzdialené vykonanie kódu.

Adobe Photoshop:

CVE-2025-27198 (CVSS skóre 7,8)

Kritická zraniteľnosť s identifikátorom CVE-2025-27198 spočíva v pretečení medzipamäte haldy a možno ju zneužiť na vykonanie kódu.

Adobe FrameMaker:

CVE-2025-30304, CVE-2025-30295, CVE-2025-30296, CVE-2025-30297, CVE-2025-30298, CVE-2025-30299 (CVSS skóre 7,8)

Kritické zraniteľnosti v Adobe FrameMaker možno zneužiť na vzdialené vykonanie kódu. Predmetné zraniteľnosti spočívajú v zápise mimo povolených hodnôt (CVE-2025-30304, CVE-2025-30297), pretečení medzipamäte haldy (CVE-2025-30295, CVE-2025-30299), podtečení celočíselnej premennej (CVE-2025-30296) a pretečení vyrovnávacej pamäte zásobníka (CVE-2025-30298).

Možné škody:

• Vykonanie škodlivého kódu
• Neoprávnený prístup k citlivým údajom
• Obídenie bezpečnostného prvku
• Zneprístupnenie služby
• Eskalácia privilégií

Odporúčania:

Odporúčame vykonať bezodkladnú aktualizáciu zasiahnutých systémov na verzie špecifikované v časti Zraniteľné systémy alebo na webových stránkach výrobcu uvedených v časti Zdroje. Zároveň odporúčame poučiť používateľov, aby neotvárali správy a prílohy z neznámych a nedôveryhodných zdrojov.

Zdroje:

• https://helpx.adobe.com/security/products/coldfusion/apsb25-15.html
• https://helpx.adobe.com/security/products/after_effects/apsb25-23.html
• https://helpx.adobe.com/security/products/media-encoder/apsb25-24.html
• https://helpx.adobe.com/security/products/bridge/apsb25-25.html
• https://helpx.adobe.com/security/products/magento/apsb25-26.html
• https://helpx.adobe.com/security/products/aem-forms/apsb25-27.html
• https://helpx.adobe.com/security/products/premiere_pro/apsb25-28.html
• https://helpx.adobe.com/security/products/photoshop/apsb25-30.html
• https://helpx.adobe.com/security/products/animate/apsb25-31.html
• https://helpx.adobe.com/security/products/aem-screens/apsb25-32.html
• https://helpx.adobe.com/security/products/framemaker/apsb25-33.html
• https://helpx.adobe.com/security/products/xmpcore/apsb25-34.html
• https://thehackernews.com/2025/04/adobe-patches-11-critical-coldfusion.html