Vulnerabilitats en products d´Adobe

Introducció

Adobe va publicar un total de 36 vulnerabilitats distribuïdes en múltiples productes, de les quals 24 van ser catalogades com a crítiques. No es té evidència generalitzada d’explotació activa, encara que alguns errors ja s’han afegit al catàleg KEV (Known Exploited Vulnerabilities) per CISA a causa d’activitat observada.

Anàlisi

Les vulnerabilitats destacades són les següents:

• • Adobe Experience Manager (AEM) Forms

    • CVE-2025-54253 – Execució de codi arbitrari sense autenticació (CVSS 10.0)
    • Tipus: Configuració insegura / Deserialització insegura.
    • Risc: Crític. Permet execució remota de codi.
    • Estat: Confirmada explotació activa segons CISA.
    • Mitigació: Actualitzar immediatament a la versió posada pegats indicada per Adobe. 
    • CVE-2025-54254 – Fuga d’informació sensible (CVSS 8.2)
    • Tipus: Exposició de dades a través d’API no autenticada.
    • Risc: Alt. Pot permetre accés a informació de formularis
    • Mitigació: Aplicar pegat i restringir accés a endpoints vulnerables.
  • Adobe Connect
    • CVE-2025-49553 – Cross-Site Scripting (XSS) basat en DOM (CVSS 9.3)
    • Tipus: XSS reflectit en interfície web.
    • Risc: Crític. Permet execució de codi arbitrari en el navegador.
    • Mitigació: Actualitzar a Connect 12.10 i aplicar filtres d’entrada. 
    • CVE-2025-49552 – XSS emmagatzemat (CVSS 8.5)
    • Tipus: Injecció persistent en components del portal.
    • Risc: Alt.
    • Mitigació: Filtrat d’entrades i ús de Content Security Policy (CSP). 
    • CVE-2025-54196 – Open Redirect (CVSS 6.5)
    • Tipus: Redirecció oberta mitjançant paràmetres manipulables.
    • Risc: Mitjà.
    • Mitigació: Validar URL de destí en el servidor.

 

• • Adobe Commerce / Magento Open Source
    • CVE-2025-54263 – Fallada d’autorització (CVSS 9.8)
    • Tipus: Bypass d’autenticació.
    • Risc: Crític. Permet l’accés a dades administratives.
    • Mitigació: Actualitzar a versió 2.4.9-pX o superior. 
    • CVE-2025-54264 / CVE-2025-54266 – Cross-Site Scripting almacenado (CVSS 8.0)
    • Tipus: Injecció de scripts en formularis de comerç
    • Risc: Alt.
    • Mitigació: Aplicar pedaços i deshabilitar contingut HTML en camps d’entrada.

 

• • Aplicacions d’Adobe Creative Clou
    • Es van abordar múltiples fallades en productes com Illustrator, Animate, Bridge, Dimension, Substance 3D i FrameMaker. Els defectes inclouen condicions d’’use-after-free’, desbordaments de búfer i accessos fora de límits. Encara que la majoria no es considera explotada activament, poden permetre execució de codi arbitrari.

Recomanacions

• • Prioritzar la instal·lació immediata de les actualitzacions crítiques publicades per Adobe.

  • Implementar revisions periòdiques de configuració en servidors AEM i entorns de comerç electrònic.

  • Deshabilitar servicis o mòduls no utilitzats en Connect i AEM.

  • Activar Content Security Policy (CSP) i capçaleres de seguretat HTTP.

  • Mantindre còpies de seguretat regulars i verificar la integritat d’estes.

Referències

• • https://helpx.adobe.com/security/products/connect/apsb25-70.html
  • https://www.securityweek.com/adobe-patches-critical-vulnerability-in-collaboration-suite/
  • https://thecyberexpress.com/adobe-security-update-3/
  • https://socradar.io/adobe-patches-connect-flaw-cve-2025-49553-and-35-more/