A Adobe lançou uma atualização de segurança abrangente em 10 de junho de 2025, corrigindo 254 vulnerabilidades em diversos produtos, com destaque para o Adobe Experience Manager (AEM). A maior parte das falhas envolve vulnerabilidades de script entre sites (XSS), que colocavam em risco a integridade e segurança de aplicações web corporativas e e-commerces gerenciados por Adobe Commerce e Magento.
Adobe corrige 254 falhas críticas em atualização de segurança massiva
Atualização atinge fortemente o Adobe Experience Manager
Das 254 falhas corrigidas, 225 afetam o Adobe Experience Manager, tanto na versão Cloud Service (CS) quanto nas versões anteriores e posteriores à 6.5.22. A correção foi aplicada na versão 6.5.23 e no AEM Cloud Service Release 2025.5.
A maioria das falhas envolvia XSS armazenado e baseado em DOM, o que permite a execução arbitrária de código por meio da injeção maliciosa de scripts em páginas acessadas por outros usuários.
“A exploração bem-sucedida dessas vulnerabilidades pode resultar na execução arbitrária de código, aumento de privilégios e desvio de recursos de segurança”, alertou a Adobe no comunicado oficial.
Entre os profissionais creditados pela descoberta dessas falhas estão Jim Green (green-jam), Akshay Sharma (anonymous_blackzero) e lpi, pesquisadores que têm contribuído com divulgações responsáveis à Adobe.
Vulnerabilidade crítica no Adobe Commerce e Magento
O destaque mais alarmante do boletim de segurança é a falha CVE-2025-47110, classificada como crítica, com pontuação CVSS de 9,1. Trata-se de uma vulnerabilidade de XSS refletido que pode permitir a execução remota de código em ambientes de e-commerce operando com Adobe Commerce e Magento Open Source.
Além disso, outra vulnerabilidade relevante, CVE-2025-43585 (CVSS: 8,2), corrige uma falha de autorização indevida que possibilitava desvio de recursos de segurança, potencialmente expondo dados e permissões sensíveis.
As versões afetadas incluem:
- Adobe Commerce: 2.4.8, 2.4.7-p5 e anteriores, 2.4.6-p10 e anteriores, 2.4.5-p12 e anteriores, 2.4.4-p13 e anteriores
- Adobe Commerce B2B: 1.5.2 e anteriores, 1.4.2-p5 e anteriores, 1.3.5-p10 e anteriores
- Magento Open Source: versões equivalentes às listadas acima
Essas falhas afetam diretamente plataformas de comércio eletrônico de larga escala, amplamente utilizadas por empresas em todo o mundo. Mesmo que nenhuma dessas vulnerabilidades esteja sendo explorada ativamente, a urgência na aplicação do patch é crítica para evitar futuros ataques.
Outras correções relevantes: InCopy e Substance 3D
A atualização da Adobe também incluiu correções para quatro falhas de execução de código remoto em softwares complementares:
- Adobe InCopy: CVE-2025-30327, CVE-2025-47107 (CVSS: 7,8)
- Substance 3D Sampler: CVE-2025-43581, CVE-2025-43588 (CVSS: 7,8)
Embora essas aplicações sejam menos críticas do ponto de vista de infraestrutura, as falhas ainda representam potenciais vetores de ataque em fluxos criativos e colaborativos.
Riscos, contexto e recomendação
Em um cenário onde ataques a cadeias de suprimento de software e plataformas web são cada vez mais sofisticados, a existência de mais de duas centenas de falhas XSS no AEM revela um risco estrutural sério para organizações que utilizam soluções da Adobe como base de seu marketing digital e e-commerce.
Além disso, falhas de execução remota em plataformas de conteúdo colaborativo e comércio eletrônico reforçam a necessidade de adoção de ciclos de atualização ágeis, monitoramento contínuo de vulnerabilidades e hardening de configurações padrão.
Conclusão
A ação da Adobe mostra responsabilidade e rapidez na correção de uma ampla gama de falhas críticas. No entanto, a magnitude do número de vulnerabilidades reveladas destaca a complexidade crescente dos ecossistemas digitais modernos. Organizações devem aplicar as atualizações o mais rápido possível e revisar suas práticas de segurança para mitigar riscos futuros.
