Adobe セキュリティ速報

検索

Adobe Experience Manager に関するセキュリティアップデート公開 | APSB25-90

情報 ID

公開日

優先度

APSB25-90

2025 年9 月 9 日

3

要約

Adobe Experience Manager (AEM)を対象としたアップデートが公開されました。 これらのアップデートは、クリティカルおよび重要に分類される脆弱性を解決します。 これらの脆弱性が悪用されると、セキュリティ機能のバイパスが発生する恐れがあります。

本アップデートによって修正される脆弱性が、広く悪用されているという事例は確認されていません。

対象の製品バージョン

製品名 バージョン プラットフォーム
Adobe Experience Manager(AEM)
 AEM Cloud Service(CS)
 すべて

6.5 LTS SP1 とそれ以前のバージョン

6.5.23 とそれ以前のバージョン

 すべて

解決策

アドビは、これらのアップデートを次の優先度評価に分類しており、対象製品をご利用のお客様に最新バージョンへのアップグレードを推奨します。

プロダクト

バージョン

Platform

優先度

利用可能状況
Adobe Experience Manager(AEM)
 AEM Cloud Service リリース 2025.9 すべて 3 リリースノート
Adobe Experience Manager(AEM))  6.5 LTS SP1(GRANITE-61551 ホットフィックス) すべて  3 リリースノート
Adobe Experience Manager(AEM) 6.5.23(GRANITE-61551 ホットフィックス) すべて  3 リリースノート
注意:

Adobe Experience Manager の Cloud Service をご利用のお客様には、新機能のほか、セキュリティや機能性のバグ修正を含むアップデートが自動的に配信されます。  

注意:

Experience Manager のセキュリティに関する留意事項:

AEM as a Cloud Service のセキュリティに関する留意事項
匿名権限の堅牢化パッケージ

注意:

AEM バージョン 6.4、6.3 および 6.2 のサポートについては、アドビカスタマケアにお問い合わせください。

脆弱性に関する詳細

脆弱性のカテゴリー
 脆弱性の影響
 深刻度
 CVSS 基本スコア
 CVSS ベクター
 CVE 番号
不適切な入力検証(CWE-20 セキュリティ機能のバイパス クリティカル 7.7 CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:N/A:N CVE-2025-54248
不正な承認(CWE-863 セキュリティ機能のバイパス 重要 6.5 CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:N CVE-2025-54246
不適切な入力検証(CWE-20 セキュリティ機能のバイパス 重要 6.5 CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N CVE-2025-54247
サーバー側要求偽造(SSRF)(CWE-918 セキュリティ機能のバイパス 重要 6.5 CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N CVE-2025-54249
不適切な入力検証(CWE-20 セキュリティ機能のバイパス 重要 4.9 CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:H/A:N CVE-2025-54250
XML インジェクション(別名:Blind XPath インジェクション)(CWE-91 セキュリティ機能のバイパス 重要 4.3 CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N CVE-2025-54251
クロスサイトスクリプティング(保存済み XSS)(CWE-79 セキュリティ機能のバイパス 重要 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2025-54252
注意:

Apache httpd をデフォルト以外の設定でプロキシで使用している場合、CVE-2023-25690 の影響を受ける可能性があります。詳しくはこちらをご覧ください: https://httpd.apache.org/security/vulnerabilities_24.html

謝辞

一連の問題を報告し、ユーザーの保護にご協力いただいた以下の皆様に対し、アドビより厚く御礼を申し上げます。 

  • Dylan Pindur および Adam Kues(Assetnote) - CVE-2025-54246、CVE-2025-54247、CVE-2025-54248、CVE-2025-54249、CVE-2025-54250、CVE-2025-54251、CVE-2025-54252

注:アドビは、HackerOne と公開バグバウンティープログラムを実施しています。 外部セキュリティリサーチャーとしてアドビで働くことに興味がある方は、https://hackerone.com/adobe をご覧ください。

詳しくは、https://helpx.adobe.com/jp/security.htmlを参照するか、PSIRT@adobe.com 宛てに電子メールでお問い合わせください。

Adobe, Inc.

ヘルプをすばやく簡単に入手

新規ユーザーの場合

クイックリンク

すべてのプランを表示 プランを管理
クイックリンクを表示する
クイックリンクを非表示にする

アドビサポートコミュニティ

使い方についての質問やCreator同士の情報交換ができます。気軽に質問してみましょう。

質問する

サポート

問題解決のためのエキスパートのサポート。

利用する
^ ページの先頭へ