Kritické bezpečnostné zraniteľnosti v produktoch Adobe

Spoločnosť Adobe vydala bezpečnostné aktualizácie na svoje produkty InCopy, Experience Manager, Commerce, InDesign, Substance 3D Sampler, Acrobat Reader a Substance 3D Painter, ktoré opravujú 252 zraniteľností, z čoho  18 je označených ako kritických. Kritické zraniteľnosti by vzdialený útočník mohol zneužiť na obídenie bezpečnostných prvkov, eskaláciu privilégií a vykonanie kódu.

Zraniteľné systémy:

• Adobe InCopy vo verziách starších ako 20.3
• Adobe InCopy vo verziách starších ako 19.5.4
• Adobe Experience Manager (AEM)  vo verziách starších ako AEM Cloud Service Release 2025.5
• Adobe Experience Manager (AEM)  vo verziách starších ako 6.5.23
• Adobe Commerce 2.4.9 vo verziách starších ako 2.4.9
• Adobe Commerce 2.4.8  vo verziách starších ako 2.4.8-p1
• Adobe Commerce 2.4.7  vo verziách starších ako 2.4.7-p6
• Adobe Commerce 2.4.6  vo verziách starších ako 2.4.6-p11
• Adobe Commerce 2.4.5  vo verziách starších ako 2.4.5-p13
• Adobe Commerce 2.4.4  vo verziách starších ako 2.4.4-p14
• Adobe Commerce B2B 1.5.3vo verziách starších ako 1.5.3-alpha1
• Adobe Commerce B2B 1.5.2 vo verziách starších ako 1.5.2-p1
• Adobe Commerce B2B 1.4.2 vo verziách starších ako 1.4.2-p6
• Adobe Commerce B2B 1.3.4 vo verziách starších ako 1.3.4-p13
• Adobe Commerce B2B 1.3.3 vo verziách starších ako 1.3.3-p14
• Magento Open Source 2.4.9 vo verziách starších ako 2.4.9-alpha1
• Magento Open Source 2.4.8 vo verziách starších ako 2.4.8-p1
• Magento Open Source 2.4.7 vo verziách starších ako 2.4.7-p6
• Magento Open Source 2.4.6 vo verziách starších ako 2.4.6-p11
• Magento Open Source 2.4.5 vo verziách starších ako 2.4.5-p13
• Adobe Commerce and Magento Open Source bez inštalovaného patchu pre CVE-2025-47110
• Adobe InDesign vo verziách starších ako ID20.3
• Adobe InDesign vo verziách starších ako ID19.5.4
• Adobe Substance 3D Sampler vo verziách starších ako 5.0.3
• Acrobat DC, Acrobat Reader DC vo verziách starších ako 25.001.20531 (Win)
• Acrobat DC, Acrobat Reader DC vo verziách starších ako 25.001.20529 (Mac)
• Acrobat 2024 vo verziách starších ako 24.001.30254
• Acrobat 2020 vo verziách starších ako 20.005.30774
• Acrobat Reader 2020 vo verziách starších ako 20.005.30774
• Adobe Substance 3D Painter vo verziách starších ako 11.0.2

Opis zraniteľnosti:

Adobe InCopy:

CVE-2025-30327, CVE-2025-47107 (CVSS skóre 7,8)

Zraniteľnosti spočívajúce v pretečení medzipamäte haldy (CVE-2025-47107) a pretečení celočíselnej hodnoty (CVE-2025-30327) možno zneužiť na vykonanie kódu.

Adobe Experience Manager:

CVE-2025-46840 (CVSS skóre 8,7), CVE-2025-46837 (CVSS skóre 7,1)

Kritické zraniteľnosti spočívajúce v nesprávnej autorizácii (CVE-2025-46840) a nedostatočnom overovaní používateľských vstupov (CVE-2025-46837) možno zneužiť na eskaláciu privilégií a vykonanie kódu.

Adobe Commerce, Adobe Commerce B2B, Magento Open Source:

CVE-2025-47110 (CVSS skóre 9,1)

CVE-2025-47110 by vzdialený autentifikovaný útočník mohol zneužiť na realizáciu XSS (Cross Site Scripting) útokov a úplné narušenie dôvernosti, integrity a dostupnosti systému. Zneužitie zraniteľnosti nevyžaduje interakciu zo strany používateľa.

CVE-2025-43585 (CVSS skóre 8,2)

Chybu spočívajúcu v nesprávnej autorizáciu by vzdialený neautentifikovaný útočník mohol zneužiť na obídenie bezpečnostného prvku a získanie úplnej kontroly nad systémom. Zneužitie zraniteľnosti nevyžaduje interakciu zo strany používateľa.

Adobe InDesign:

CVE-2025-30317, CVE-2025-43558, CVE-2025-43589, CVE-2025-43590, CVE-2025-43593 (CVSS skóre 7,8)

Zraniteľnosti spočívajú v zápise mimo povolených hodnôt (CVE-2025-43590, CVE-2025-43593, CVE-2025-43558), použití odalokovaného miesta v pamäti (CVE-2025-43589) a pretečení medzipamäte haldy (CVE-2025-30317) možno zneužiť na vykonanie škodlivého kódu.

Adobe Substance 3D Sampler:

CVE-2025-43581, CVE-2025-43588 (CVSS skóre 7,8)

Zápis mimo povolených hodnôt umožňuje vykonanie škodlivého kódu s následkom úplného narušenia dôvernosti, integrity a dostupnosti systému.

Acrobat DC, Acrobat Reader DC, Acrobat 2024, Acrobat 2020, Acrobat Reader 2020:

CVE-2025-43573, CVE-2025-43574, CVE-2025-43575, CVE-2025-43576 (CVSS skóre 7,8)

Zraniteľnosti spočívajúce v zápise mimo povolených hodnôt (CVE-2025-43575) a použití odalokovaného miesta v pamäti (CVE-2025-43573, CVE-2025-43574, CVE-2025-43576) možno zneužiť na vykonanie škodlivého kódu.

Adobe Substance 3D Painter:

CVE-2025-47108 (CVSS skóre 7,8)

Zraniteľnosť spočíva v zápise mimo povolených hodnôt a možno ju zneužiť na vykonanie škodlivého kódu.

Pozn.: Ak nie je uvedené inak, zneužitie všetkých vyššie uvedených zraniteľností vyžaduje interakciu zo strany používateľa, ktorý musí otvoriť špeciálne vytvorený súbor.

Možné škody:

• Vykonanie škodlivého kódu
• Obídenie bezpečnostného prvku
• Eskalácia privilégií
• Neoprávnený prístup k citlivým údajom
• Zneprístupnenie služby

Odporúčania:

Odporúčame vykonať bezodkladnú aktualizáciu zasiahnutých systémov na verzie špecifikované v časti Zraniteľné systémy alebo na webových stránkach výrobcu uvedených v časti Zdroje. Zároveň odporúčame použiť používateľov, aby neotvárali správy a prílohy z neznámych a nedôveryhodných zdrojov.

Zdroje:

• https://helpx.adobe.com/security/products/incopy/apsb25-41.html
• https://helpx.adobe.com/security/products/experience-manager/apsb25-48.html
• https://helpx.adobe.com/security/products/magento/apsb25-50.html
• https://helpx.adobe.com/security/products/indesign/apsb25-53.html
• https://helpx.adobe.com/security/products/substance3d-sampler/apsb25-55.html
• https://helpx.adobe.com/security/products/acrobat/apsb25-57.html
• https://helpx.adobe.com/security/products/substance3d_painter/apsb25-58.html
• https://thehackernews.com/2025/06/adobe-releases-patch-fixing-254.html