بروزرسانی مهم Adobe منتشر شد؛ ۲۵۴ باگ امنیتی از جمله موارد بحرانی پچ شد!

شرکت Adobe روز 10 ژوئن به‌روزرسانی‌های امنیتی را منتشر کرد که در مجموع ۲۵۴ نقص امنیتی در محصولات نرم‌افزاری این شرکت را برطرف می‌کند. اکثریت این نقص‌ها به Experience Manager (AEM) مربوط می‌شوند.

جزئیات آسیب‌پذیری‌ها

از مجموع ۲۵۴ نقص، ۲۲۵ مورد در AEM شناسایی شده‌اند که AEM Cloud Service و تمامی نسخه‌های پیش از ۶.۵.۲۲، از جمله خود این نسخه، را تحت تأثیر قرار می‌دهند. این مسائل در AEM Cloud Service Release 2025.5 و نسخه ۶.۵.۲۳ رفع شده‌اند.

Adobe اعلام کرده است که سوءاستفاده موفقیت‌آمیز از این آسیب‌پذیری‌ها می‌تواند به اجرای کد دلخواه، افزایش سطح دسترسی و دور زدن ویژگی‌های امنیتی منجر شود. تقریبا تمامی ۲۲۵ نقص به‌عنوان آسیب‌پذیری‌های XSS، شامل ترکیبی از XSS ذخیره‌شده و XSS مبتنی بر DOM، طبقه‌بندی شده‌اند که می‌توانند برای اجرای کد دلخواه اکسپلویت شوند. پژوهشگران امنیتی جیم گرین، اکشای شارما و lpi به دلیل کشف و گزارش این آسیب‌پذیری‌های XSS مورد تقدیر Adobe قرار گرفته‌اند.

نقص‌های بحرانی

شدیدترین نقص برطرف‌شده در به‌روزرسانی این ماه، آسیب‌پذیری اجرای کد در Adobe Commerce و Magento Open Source است. این آسیب‌پذیری بحرانی با شناسه CVE-2025-47110 (امتیاز CVSS: ۹.۱) یک نقص XSS بازتابی است که می‌تواند به اجرای کد دلخواه منجر شود. همچنین، یک نقص مجوزدهی نامناسب با شناسه CVE-2025-43585 (امتیاز CVSS: ۸.۲) برطرف شده که می‌توانست به دور زدن ویژگی امنیتی منجر شود.

نسخه‌های زیر تحت تأثیر این نقص‌ها قرار دارند:

• Adobe Commerce: نسخه‌های ۲.۴.۸، 2.4.7-p5 و پیش‌تر، 2.4.6-p10 و پیش‌تر، 2.4.5-p12 و پیش‌تر و 2.4.4-p13 و پیش‌تر
• Adobe Commerce B2B: نسخه‌های ۱.۵.۲ و پیش‌تر، 1.4.2-p5 و پیش‌تر، 1.3.5-p10 و پیش‌تر، ۱.۳.۴-p۱۲ و پیش‌تر و 1.3.3-p13 و پیش‌تر
• Magento Open Source: نسخه‌های ۲.۴.۸، 2.4.7-p5 و پیش‌تر، 2.4.6-p10 و پیش‌تر و 1.3.4-p12 و پیش‌تر

سایر به‌روزرسانی‌ها

چهار نقص دیگر به آسیب‌پذیری‌های اجرای کد در Adobe InCopy (با شناسه‌های CVE-2025-30327 و CVE-2025-47107، امتیاز CVSS: ۷.۸) و Substance 3D Sampler (با شناسه‌های CVE-2025-43581 و CVE-2025-43588، امتیاز CVSS: ۷.۸) مربوط می‌شوند.

توصیه امنیتی

هیچ‌یک از این نقص‌ها به‌عنوان شناخته‌شده عمومی یا اکسپلویت‌شده در محیط واقعی گزارش نشده‌اند. با این حال، به کاربران توصیه شده است که نسخه‌های خود را به آخرین نسخه به‌روزرسانی کنند تا از تهدیدات احتمالی در امان بمانند.

منابع: