Adobe lanzó actualizaciones de seguridad para abordar múltiples vulnerabilidades que afectan a sus productos de software. Estas vulnerabilidades podrían permitir secuencias de comandos entre sitios (XSS), específicamente una combinación de XSS almacenado y XSS basado en DOM, que podrían explotarse para lograr la ejecución de código arbitrario.
Productos afectados
- Adobe InCopy 20.2 y versiones anteriores,19.5.3 y versiones anteriores.
- Administrador de experiencias de Adobe (AEM) 6.5.22 y versiones anteriores
- Adobe Commerce 2.4.8, 2.4.7-p5 y anteriores, 2.4.6-p10 y anteriores, 2.4.5-p12 y anteriores, 2.4.4-p13 y anteriores.
- Adobe Commerce B2B 1.5.2 y anteriores,1.4.2-p5 y anteriores, 1.3.5-p10 y anteriores, 1.3.4-p12 y anteriores, 1.3.3-p13 y anteriores.
- Magento de código abierto 2.4.8, 2.4.7-p5 y anteriores, 2.4.6-p10 y anteriores, 2.4.5-p12 y anteriores
- Adobe InDesign ID20.2 y versiones anteriores, ID19.5.3 y versiones anteriores.
- Muestreador 3D de Adobe Substance 5.0 y versiones anteriores.
- Acrobat DC 25.001.20521 y versiones anteriores
- Acrobat Reader DC 25.001.20521 y versiones anteriores
- Acrobat 2024 24.001.30235 y versiones anteriores
- Acrobat 2020 20.005.30763 y versiones anteriores
- Acrobat Reader 2020 20.005.30763 y versiones anteriores
- Adobe Substance 3D Painter 11.0.1 y versiones anteriores
Impacto
Las vulnerabilidades de mayor severidad se han identificado como:
CVE-2025-47110: con una puntuación de 9.1 en CVSS v3.1. Existe una vulnerabilidad de secuencias de comandos entre sitios (XSS) almacenada que un actor malicioso con privilegios elevados podría aprovechar para inyectar scripts maliciosos en campos de formulario vulnerables.
CVE-2025-43585: con una puntuación de 8.2 en CVSS v3.1. Existe una vulnerabilidad de autorización incorrecta que podría provocar la omisión de una función de seguridad. Un actor malicioso podría aprovechar esta vulnerabilidad para eludir las medidas de seguridad y obtener acceso no autorizado.
CVE-2025-30327: con una puntuación de 7.8 en CVSS v3.1. Existe una vulnerabilidad de desbordamiento de enteros o envolvente que podría provocar la ejecución de código arbitrario en el contexto del usuario actual.
CVE-2025-43581: con una puntuación de 7.8 en CVSS v3.1. Existe una vulnerabilidad de escritura fuera de límites que podría provocar la ejecución de código arbitrario en el contexto del usuario actual.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencias
- https://nvd.nist.gov/vuln/detail/CVE-2025-47110
- https://nvd.nist.gov/vuln/detail/CVE-2025-43585
- https://nvd.nist.gov/vuln/detail/CVE-2025-30327
- https://nvd.nist.gov/vuln/detail/CVE-2025-43581
- https://helpx.adobe.com/security.html