Publicado el por Seguridad CSIRT-CV

Vulnerabilidades en productos de Adobe

Introducción

Adobe publicó un total de 36 vulnerabilidades distribuidas en múltiples productos, de las cuales 24 fueron catalogadas como críticas. No se tiene evidencia generalizada de explotación activa, aunque algunos fallos ya han sido añadidos al catálogo KEV (Known Exploited Vulnerabilities) por CISA debido a actividad observada.

Análisis

Las vulnerabilidades destacadas son las siguientes:

  • Adobe Experience Manager (AEM) Forms

    • CVE‑2025‑54253 – Ejecución de código arbitrario sin autenticación (CVSS 10.0)
    • Tipo: Configuración insegura / Deserialización insegura.
    • Riesgo: Crítico. Permite ejecución remota de código.
    • Estado: Confirmada explotación activa según CISA.
    • Mitigación: Actualizar inmediatamente a la versión parcheada indicada por Adobe. 
    • CVE‑2025‑54254 – Fuga de información sensible (CVSS 8.2)
    • Tipo: Exposición de datos a través de API no autenticada.
    • Riesgo: Alto. Puede permitir acceso a información de formularios.
    • Mitigación: Aplicar parche y restringir acceso a endpoints vulnerables.
  • Adobe Connect
    • CVE‑2025‑49553 – Cross-Site Scripting (XSS) basado en DOM (CVSS 9.3)
    • Tipo: XSS reflejado en interfaz web.
    • Riesgo: Crítico. Permite ejecución de código arbitrario en el navegador.
    • Mitigación: Actualizar a Connect 12.10 y aplicar filtros de entrada. 
    • CVE‑2025‑49552 – XSS almacenado (CVSS 8.5)
    • Tipo: Inyección persistente en componentes del portal.
    • Riesgo: Alto.
    • Mitigación: Filtrado de entradas y uso de Content Security Policy (CSP). 
    • CVE‑2025‑54196 – Open Redirect (CVSS 6.5)
    • Tipo: Redirección abierta mediante parámetros manipulables.
    • Riesgo: Medio.
    • Mitigación: Validar URLs de destino en el servidor.

 

  • Adobe Commerce / Magento Open Source
    • CVE‑2025‑54263 – Fallo de autorización (CVSS 9.8)
    • Tipo: Bypass de autenticación.
    • Riesgo: Crítico. Permite el acceso a datos administrativos.
    • Mitigación: Actualizar a versión 2.4.9-pX o superior. 
    • CVE‑2025‑54264 / CVE‑2025‑54266 – Cross-Site Scripting almacenado (CVSS 8.0)
    • Tipo: Inyección de scripts en formularios de comercio.
    • Riesgo: Alto.
    • Mitigación: Aplicar parches y deshabilitar contenido HTML en campos de entrada.

 

  • Aplicaciones de Adobe Creative Cloud
    • Se abordaron múltiples fallos en productos como Illustrator, Animate, Bridge, Dimension, Substance 3D y FrameMaker. Los defectos incluyen condiciones de ‘use-after-free’, desbordamientos de búfer y accesos fuera de límites. Aunque la mayoría no se considera explotada activamente, pueden permitir ejecución de código arbitrario.

Recomendaciones

  • Priorizar la instalación inmediata de las actualizaciones críticas publicadas por Adobe.

  • Implementar revisiones periódicas de configuración en servidores AEM y entornos de comercio electrónico.

  • Deshabilitar servicios o módulos no utilizados en Connect y AEM.

  • Activar Content Security Policy (CSP) y cabeceras de seguridad HTTP.

  • Mantener copias de seguridad regulares y verificar la integridad de las mismas.

Referencias

https://helpx.adobe.com/security/products/connect/apsb25-70.html

https://www.securityweek.com/adobe-patches-critical-vulnerability-in-collaboration-suite/

https://thecyberexpress.com/adobe-security-update-3/

https://socradar.io/adobe-patches-connect-flaw-cve-2025-49553-and-35-more/