Kritické bezpečnostné zraniteľnosti v produktoch Adobe

Spoločnosť Adobe vydala bezpečnostné aktualizácie na svoje produkty After Effects, Substance 3D Viewer, Audition, InCopy , InDesign, Connect , Dimension, Substance 3D Stager, Illustrator, FrameMaker, AEM Forms , AEM Screens a ColdFusion, ktoré opravujú 60 zraniteľností, z čoho  38 je označených ako kritických. Kritické zraniteľnosti by vzdialený útočník mohol zneužiť na obídenie bezpečnostných prvkov, eskaláciu privilégií a vykonanie kódu.

Zraniteľné systémy:

• Adobe After Effects 24.6.X vo verziách starších ako 24.6.7
• Adobe After Effects 25.X vo verziách starších ako 25.3
• Adobe Substance 3D Viewer vo verziách starších ako 0.25
• Adobe Audition 24.6.X vo verziách starších ako 24.6.7
• Adobe Audition 25.X vo verziách starších ako 25.3
• Adobe InCopy 20.X vo verziách starších ako 20.4
• Adobe InCopy 19.X vo verziách starších ako 19.5.4
• Adobe InDesign ID20.X vo verziách starších ako ID20.4
• Adobe InDesign ID19.5.X vo verziách starších ako ID19.5.4
• Connect Windows App vo verziách starších ako 25.1
• Adobe Dimension vo verziách starších ako 4.1.3
• Adobe Substance 3D Stager vo verziách starších ako 3.1.3
• Illustrator 2025 29.X vo verziách starších ako 29.6
• Illustrator 2024 28.7.X vo verziách starších ako 28.7.8
• Adobe FrameMaker FrameMaker 2020 vo verziách bez inštalovanej záplaty Update 9
• Adobe FrameMaker FrameMaker 2022 vo verziách bez inštalovanej záplaty Update 7
• Adobe Experience Manager (AEM) Forms on JEE vo verziách starších ako 6.5.0.0.20250527.0
• Adobe Experience Manager (AEM) Screens vo verziách starších 6.5.22 Screens FP11.6
• ColdFusion 2025 vo verziách bez inštalovanej záplaty Update 3
• ColdFusion 2023 vo verziách bez inštalovanej záplaty Update 15
• ColdFusion 2021 vo verziách bez inštalovanej záplaty Update 21

Opis zraniteľnosti:

Adobe Substance 3D Viewer:

CVE-2025-43582 (CVSS skóre 7,8)

Zraniteľnosť spočíva v pretečení medzipamäte haldy a možno ju zneužiť na vykonanie kódu.

Adobe InCopy:

CVE-2025-47097, CVE-2025-47098, CVE-2025-47099 (CVSS skóre 7,8)

Podtečenie celočíselnej premennej (CVE-2025-47097), prístup k neinicializovanému ukazovateľu (CVE-2025-47098) a pretečenie medzipamäte haldy (CVE-2025-47099) v produkte Adobe InCopy možno podvrhnutím špeciálne vytvorených súborov zneužiť na vykonanie kódu.

Adobe InDesign:

CVE-2025-47136, CVE-2025-43591, CVE-2025-43592, CVE-2025-43594, CVE-2025-47103, CVE-2025-47134 (CVSS skóre 7,8)

Zraniteľnosti v InDesign spočívajúce v podtečení celočíselnej premennej (CVE-2025-47136), prístupe k neinicializovanému ukazovateľu (CVE-2025-43592), zápise mimo povolených hodnôt (CVE-2025-43594) a pretečení medzipamäte haldy (CVE-2025-43591, CVE-2025-47103, CVE-2025-47134) možno zneužiť na vykonanie kódu.

Adobe Connect:

CVE-2025-27203 (CVSS skóre 9,3)

Kritickú zraniteľnosť s identifikátorom CVE-2025-27203 možno zneužiť podvrhnutím špeciálne vytvorených dát, ktorých deserializácia vedie k vykonaniu kódu.

Adobe Dimension:

CVE-2025-30312 (CVSS skóre 7,8)

Zápis mimo povolených hodnôt v Adobe Dimension možno zneužiť na vykonanie kódu.

Adobe Illustrator:

CVE-2025-49526, CVE-2025-49527, CVE-2025-49528, CVE-2025-49529, CVE-2025-49530, CVE-2025-49531, CVE-2025-49532 (CVSS skóre 7,8)

Zraniteľnosti spočívajúce v pretečení (CVE-2025-49531) a podtečení (CVE-2025-49532) celočíselnej premennej, pretečení vyrovnávacej pamäte zásobníka (CVE-2025-49527, CVE-2025-49528), prístupe k neinicializovanému ukazovateľu (CVE-2025-49529) a zápise mimo povolených hodnôt (CVE-2025-49526, CVE-2025-49530) možno zneužiť na vykonanie kódu.

Adobe FrameMaker:

CVE-2025-47121, CVE-2025-47122, CVE-2025-47123, CVE-2025-47124, CVE-2025-47125, CVE-2025-47126, CVE-2025-47127, CVE-2025-47128, CVE-2025-47129, CVE-2025-47130, CVE-2025-47131, CVE-2025-47132, CVE-2025-47133 (CVSS skóre 7,8)

Zraniteľnosti spočívajúce v  podtečení celočíselnej premennej (CVE-2025-47128, CVE-2025-47130), prístupe k neinicializovanému ukazovateľu (CVE-2025-47121), pretečení medzipamäte haldy (CVE-2025-47122, CVE-2025-47123, CVE-2025-47125, CVE-2025-47131) a zápise mimo povolených hodnôt (CVE-2025-47124, CVE-2025-47126, CVE-2025-47127, CVE-2025-47129, CVE-2025-47132, CVE-2025-47133) možno zneužiť na vykonanie kódu.

Adobe AEM Forms:

CVE-2025-49533 (CVSS skóre 9,8)

CVE-2025-49533 možno zneužiť podvrhnutím špeciálne vytvorených dát, ktorých deserializácia vedie k vykonaniu kódu. Zneužitie zraniteľnosti nevyžaduje interakciu používateľa.

Adobe ColdFusion:

CVE-2025-49535 (CVSS skóre 9,3)

Kritickú zraniteľnosť by vzdialený neautentifikovaný útočník prostredníctvom XXE (XML External Entity) referencie mohol zneužiť na čítanie obsahu ľubovoľných súborov na súborovom systéme. Zneužitie zraniteľnosti nevyžaduje interakciu používateľa.

CVE-2025-49551 (CVSS skóre 8,8)

Zraniteľnosť spočívajúcu v existencii zabudovaného používateľského konta s predvoleným heslom by útočník nachádzajúci sa v rovnakom sieťovom segmente mohol zneužiť na získanie neoprávneného prístupu do systému. Zneužitie zraniteľnosti nevyžaduje interakciu používateľa.

CVE-2025-49536, CVE-2025-49537 (CVSS skóre 8,1)

Nesprávnu autorizáciu (CVE-2025-49536) možno zneužiť na obídenie bezpečnostného prvku. CVE-2025-49537 spočívajúcu v nesprávnej neutralizácii špeciálnych elementov používaných v rámci príkazov operačného systému by vzdialený autentifikovaný útočník mohol zneužiť na čítanie obsahu ľubovoľných súborov na súborovom systéme. Zneužitie zraniteľností nevyžaduje interakciu používateľa.

CVE-2025-49538 (CVSS skóre 7,4)

Blind Xpath XML injekciu by vzdialený neautentifikovaný útočník mohol zneužiť na čítanie obsahu ľubovoľných súborov na súborovom systéme. Zneužitie zraniteľnosti nevyžaduje interakciu používateľa.

Pozn.: Ak nie je uvedené inak, zneužitie všetkých vyššie uvedených zraniteľností vyžaduje interakciu zo strany používateľa, ktorý musí otvoriť špeciálne vytvorený súbor.

Možné škody:

• Vykonanie škodlivého kódu
• Obídenie bezpečnostného prvku
• Eskalácia privilégií
• Neoprávnený prístup k citlivým údajom
• Neoprávnený prístup do systému
• Zneprístupnenie služby

Odporúčania:

Odporúčame vykonať bezodkladnú aktualizáciu zasiahnutých systémov na verzie špecifikované v časti Zraniteľné systémy alebo na webových stránkach výrobcu uvedených v časti Zdroje. Zároveň odporúčame poučiť používateľov, aby neotvárali správy a prílohy z neznámych a nedôveryhodných zdrojov.

Zdroje:

• https://helpx.adobe.com/security/products/after_effects/apsb25-49.html
• https://helpx.adobe.com/security/products/substance3d-viewer/apsb25-54.html
• https://helpx.adobe.com/security/products/audition/apsb25-56.html
• https://helpx.adobe.com/security/products/incopy/apsb25-59.html
• https://helpx.adobe.com/security/products/indesign/apsb25-60.html
• https://helpx.adobe.com/security/products/connect/apsb25-61.html
• https://helpx.adobe.com/security/products/dimension/apsb25-63.html
• https://helpx.adobe.com/security/products/substance3d_stager/apsb25-64.html
• https://helpx.adobe.com/security/products/illustrator/apsb25-65.html
• https://helpx.adobe.com/security/products/framemaker/apsb25-66.html
• https://helpx.adobe.com/security/products/aem-forms/apsb25-67.html
• https://helpx.adobe.com/security/products/aem-screens/apsb25-68.html
• https://helpx.adobe.com/security/products/coldfusion/apsb25-69.html