Bienvenido al blog de Undercode   Click to listen highlighted text! Bienvenido al blog de Undercode
Inicio Noticias Adobe corrige 254 vulnerabilidades críticas en AEM
Noticias

Adobe corrige 254 vulnerabilidades críticas en AEM

por Dragora
Escrito por Dragora

Adobe ha lanzado una importante actualización de seguridad en junio de 2025 para abordar 254 vulnerabilidades que afectan a varios de sus productos, incluyendo Adobe Experience Manager (AEM), Adobe Commerce, Magento Open Source, InCopy y Substance 3D Sampler. La mayoría de las fallas, específicamente 225, residen en AEM, y podrían permitir ejecución de código arbitrario, escalada de privilegios y omisión de funciones de seguridad si no se corrigen.

Estas actualizaciones forman parte del ciclo habitual de parches de Adobe, pero su magnitud y severidad hacen que sea crítico aplicar los parches de inmediato para evitar posibles explotaciones futuras.

Vulnerabilidades en Adobe Experience Manager (AEM)

El componente más afectado por esta ronda de actualizaciones es Adobe Experience Manager, con 225 vulnerabilidades identificadas en versiones anteriores a la 6.5.22, así como en instancias de AEM Cloud Service. Los problemas se han solucionado en las versiones 6.5.23 y 2025.5 de AEM.

Adobe ha clasificado la mayoría de estas vulnerabilidades como cross-site scripting (XSS), incluyendo variantes de XSS almacenado y XSS basado en DOM. Estas fallas pueden permitir que atacantes ejecuten código malicioso en el navegador de los usuarios o comprometan sistemas internos si se combinan con otras vulnerabilidades.

“La explotación exitosa de estas vulnerabilidades podría resultar en la ejecución de código arbitrario, escalada de privilegios y omisión de funciones de seguridad”, explicó Adobe en su aviso oficial.

Investigadores responsables

Adobe ha reconocido a los investigadores Jim Green (green-jam), Akshay Sharma (anonymous_blackzero) y lpi por reportar estas vulnerabilidades de XSS en AEM, lo cual destaca la importancia de la colaboración entre la comunidad de seguridad y los desarrolladores de software.

Fallas críticas en Adobe Commerce y Magento Open Source

Además de AEM, Adobe solucionó múltiples vulnerabilidades graves en Adobe Commerce y Magento Open Source, utilizadas ampliamente en entornos de comercio electrónico.

Vulnerabilidades destacadas

  • CVE-2025-47110 (CVSS 9.1): Se trata de un XSS reflejado crítico que permite la ejecución de código arbitrario.

  • CVE-2025-43585 (CVSS 8.2): Una falla de autorización incorrecta que podría permitir a un atacante eludir controles de seguridad.

Versiones afectadas

Las versiones vulnerables de Adobe Commerce incluyen:

  • 2.4.8

  • 2.4.7-p5 y anteriores

  • 2.4.6-p10 y anteriores

  • 2.4.5-p12 y anteriores

  • 2.4.4-p13 y anteriores

En el caso de Adobe Commerce B2B, las versiones afectadas son:

  • 1.5.2 y anteriores

  • 1.4.2-p5 y anteriores

  • 1.3.5-p10 y anteriores

  • 1.3.4-p12 y anteriores

  • 1.3.3-p13 y anteriores

Para Magento Open Source, también se ven comprometidas:

  • 2.4.8

  • 2.4.7-p5 y anteriores

  • 2.4.6-p10 y anteriores

  • 2.4.5-p12 y anteriores

Los administradores de estas plataformas deben actualizar a las últimas versiones disponibles para evitar riesgos de compromiso, especialmente considerando la criticidad de las vulnerabilidades.

Otras aplicaciones afectadas: InCopy y Substance 3D Sampler

Las actualizaciones también corrigen fallos de ejecución de código en:

  • Adobe InCopy

    • CVE-2025-30327

    • CVE-2025-47107

    • Ambas con puntuación CVSS de 7.8

  • Substance 3D Sampler

    • CVE-2025-43581

    • CVE-2025-43588

    • También con puntuaciones CVSS de 7.8

Aunque estas vulnerabilidades no son tan críticas como las de AEM o Magento, pueden ser explotadas en entornos donde se trabaja con contenido multimedia o edición de texto en colaboración, por lo que se recomienda encarecidamente aplicar las actualizaciones.

Recomendaciones de seguridad

Aunque Adobe confirmó que ninguna de las vulnerabilidades ha sido explotada activamente en la naturaleza al momento de la publicación del parche, las organizaciones deben tomar medidas inmediatas para mitigar los riesgos. Se recomienda:

  • Actualizar todos los productos afectados a las versiones más recientes disponibles.

  • Revisar configuraciones de seguridad en entornos AEM y Adobe Commerce para asegurar que no existan exposiciones innecesarias.

  • Implementar mecanismos de monitoreo y detección de XSS, especialmente en sistemas expuestos públicamente.

  • Educar a los equipos de desarrollo y administración sobre las mejores prácticas para prevenir inyecciones de código y errores de autorización.

En fin, la reciente actualización de seguridad de Adobe subraya la importancia de mantener todos los entornos actualizados, especialmente en plataformas críticas como AEM y Magento. Con más de 250 vulnerabilidades corregidas, muchas de ellas de alta severidad, los riesgos para las organizaciones que no apliquen los parches son significativos.

La explotación de fallas como XSS y errores de autorización puede tener consecuencias graves, desde robo de datos hasta compromisos totales del sistema. Mantenerse al día con las actualizaciones de seguridad y adoptar un enfoque proactivo en la gestión de vulnerabilidades es esencial en el panorama actual de amenazas.

Fuente: The Hacker News

0 Comentar
0
FacebookTwitterPinterestLinkedinEmail

You may also like

Actualización de emergencia en Windows 11 24H2 corrige...

Actualización urgente de Trend Micro:

TokenBreak: El ataque que burla la seguridad de...

Campaña ATO usa TeamFiltration para hackear cuentas Microsoft...

FIN6 distribuye malware More_eggs con currículos falsos a...

Microsoft corrige fallos de autenticación en Windows Server...

Ataques coordinados apuntan a Apache Tomcat Manager

Mozilla cierra Orbit: el asistente de IA de...

OpenAI detecta uso malicioso de ChatGPT por hackers...

CVE-2025-24016: Botnets Mirai y Resbot explotan vulnerabilidad crítica...

Dejar Comentario

Guardar mi nombre y email para el próximo comentario

Click to listen highlighted text!