شرکت ادوبی روز سه‌شنبه به‌روزرسانی‌های امنیتی جدیدی منتشر کرد که ۲۵۴ نقص امنیتی در محصولات نرم‌افزاری این شرکت را برطرف می‌کند. بیشتر این آسیب‌پذیری‌ها مربوط به Adobe Experience Manager (AEM) است.

از مجموع ۲۵۴ آسیب‌پذیری، ۲۲۵ مورد در AEM وجود دارد که سرویس ابری AEM و همه نسخه‌های قبل از ۶.۵.۲۲ را تحت تأثیر قرار می‌دهد. این مشکلات در نسخه ۲۰۲۵.۵ سرویس ابری AEM و نسخه ۶.۵.۲۳ برطرف شده‌اند.

ادوبی در اطلاعیه خود اعلام کرد: “بهره‌برداری موفقیت‌آمیز از این آسیب‌پذیری‌ها می‌تواند منجر به اجرای کد دلخواه، افزایش سطح دسترسی و دور زدن ویژگی‌های امنیتی شود.”

تقریباً تمام ۲۲۵ آسیب‌پذیری به عنوان نقص‌های Cross-Site Scripting (XSS) طبقه‌بندی شده‌اند که شامل ترکیبی از XSS ذخیره‌شده و XSS مبتنی بر DOM است. این آسیب‌پذیری‌ها می‌توانند برای اجرای کد دلخواه مورد سوءاستفاده قرار گیرند.

ادوبی از محققان امنیتی جیم گرین، آکشای شارما و lpi برای کشف و گزارش این نقص‌های XSS قدردانی کرده است.

شدیدترین آسیب‌پذیری که در به‌روزرسانی این ماه برطرف شده، مربوط به یک نقص اجرای کد در Adobe Commerce و Magento Open Source است. این آسیب‌پذیری با شناسه CVE-2025-47110 و امتیاز CVSS برابر با ۹.۱، یک نقص XSS بازتابی است که می‌تواند منجر به اجرای کد دلخواه شود.

همچنین یک نقص مجوز نامناسب با شناسه CVE-2025-43585 و امتیاز CVSS برابر با ۸.۲ برطرف شده که می‌تواند منجر به دور زدن ویژگی‌های امنیتی شود.

نسخه‌های زیر تحت تأثیر قرار گرفته‌اند:

Adobe Commerce (نسخه‌های ۲.۴.۸، ۲.۴.۷-p5 و قبل‌تر، ۲.۴.۶-p10 و قبل‌تر، ۲.۴.۵-p12 و قبل‌تر، و ۲.۴.۴-p13 و قبل‌تر)

Adobe Commerce B2B (نسخه‌های ۱.۵.۲ و قبل‌تر، ۱.۴.۲-p5 و قبل‌تر، ۱.۳.۵-p10 و قبل‌تر، ۱.۳.۴-p12 و قبل‌تر، و ۱.۳.۳-p13 و قبل‌تر)

Magento Open Source (نسخه‌های ۲.۴.۸، ۲.۴.۷-p5 و قبل‌تر، ۲.۴.۶-p10 و قبل‌تر، ۲.۴.۵-p12 و قبل‌تر)

از میان سایر به‌روزرسانی‌ها، چهار مورد مربوط به نقص‌های اجرای کد در Adobe InCopy و Substance 3D Sampler با امتیاز CVSS برابر با ۷.۸ است.

اگرچه هیچ‌یک از این آسیب‌پذیری‌ها به صورت عمومی شناخته شده یا در حملات واقعی مورد سوءاستفاده قرار نگرفته‌اند، به کاربران توصیه می‌شود برای محافظت در برابر تهدیدات احتمالی، نرم‌افزارهای خود را به آخرین نسخه به‌روزرسانی کنند.