Bulletin-id
Laatst bijgewerkt op
16 sep. 2025
Beveiligingsupdates beschikbaar voor Adobe Experience Manager | APSB25-90
|
|
Publicatiedatum |
Prioriteit |
|---|---|---|
|
APSB25-90 |
9 september 2025 |
3 |
Samenvatting
Adobe heeft updates uitgebracht voor Adobe Experience Manager (AEM). Deze updates lossen kwetsbaarheden op die als kritiek en belangrijk zijn beoordeeld.Succesvolle exploitatie van deze kwetsbaarheden kan leiden tot het omzeilen van beveiligingsfuncties.
Adobe is zich er niet van bewust dat de in deze updates behandelde problemen door onbevoegden worden misbruikt.
Van toepassing op de volgende productversies
| Product | Versie | Platform |
|---|---|---|
| Adobe Experience Manager (AEM) |
AEM Cloud Service (CS) |
Alle |
6.5 LTS SP1 en eerdere versies 6.5.23 en eerdere versies |
Alle |
Oplossing
Adobe heeft aan deze updates de volgende prioriteit toegekend en raadt gebruikers aan hun installatie bij te werken naar de recentste versie:
Product |
Versie |
Platform |
Prioriteit |
Beschikbaarheid |
|---|---|---|---|---|
| Adobe Experience Manager (AEM) |
AEM Cloud Service Release 2025.9 | Alle | 3 | Release-opmerkingen |
| Adobe Experience Manager (AEM) | 6.5 LTS SP1 (GRANITE-61551 Hotfix) | Alle | 3 | Release-opmerkingen |
| Adobe Experience Manager (AEM) | 6.5.23 (GRANITE-61551 Hotfix) | Alle | 3 | Release-opmerkingen |
Opmerking:
Klanten die op Adobe Experience Manager's Cloud Service draaien, ontvangen automatisch updates die nieuwe functies bevatten, evenals bugfixes voor beveiliging en functionaliteit.
Opmerking:
Beveiligingsoverwegingen voor Experience Manager:
Beveiligingsoverwegingen voor AEM as a Cloud Service
Anonymous Permission Hardening Package
Opmerking:
Neem contact op met de klantenservice van Adobe voor hulp bij versie 6.4, 6.3 en 6.2 van AEM.
Details van kwetsbaarheid
| Categorie van kwetsbaarheid |
Impact van kwetsbaarheid |
Ernst |
CVSS-basisscore |
CVSS-vector |
CVE-nummer |
| Onjuiste invoervalidatie (CWE-20) | Omzeiling van beveiligingsfunctie | Kritiek | 7,7 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:N/A:N | CVE-2025-54248 |
| Onjuiste autorisatie (CWE-863) | Omzeiling van beveiligingsfunctie | Belangrijk | 6.5 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:N | CVE-2025-54246 |
| Onjuiste invoervalidatie (CWE-20) | Omzeiling van beveiligingsfunctie | Belangrijk | 6.5 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N | CVE-2025-54247 |
| SSRF (aanvraagvervalsing op de server) (CWE-918) | Omzeiling van beveiligingsfunctie | Belangrijk | 6.5 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N | CVE-2025-54249 |
| Onjuiste invoervalidatie (CWE-20) | Omzeiling van beveiligingsfunctie | Belangrijk | 4.9 | CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:H/A:N | CVE-2025-54250 |
| XML-injectie (ook bekend als blinde XPath-injectie) (CWE-91) | Omzeiling van beveiligingsfunctie | Belangrijk | 4.3 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N | CVE-2025-54251 |
| Cross-site scripting (opgeslagen XSS) (CWE-79) | Omzeiling van beveiligingsfunctie | Belangrijk | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2025-54252 |
Opmerking:
Als een klant Apache httpd gebruikt in een proxy met een niet-standaard configuratie, kan hij getroffen worden door CVE-2023-25690 - lees hier meer: https://httpd.apache.org/security/vulnerabilities_24.html
Dankbetuigingen
Adobe bedankt de volgende personen voor het melden van deze problemen en voor de samenwerking met Adobe om onze klanten te helpen beschermen:
- Dylan Pindur en Adam Kues (Assetnote) - CVE-2025-54246, CVE-2025-54247, CVE-2025-54248, CVE-2025-54249, CVE-2025-54250, CVE-2025-54251, CVE-2025-54252
OPMERKING: Adobe heeft een openbaar bug bounty-programma met HackerOne. Als u geïnteresseerd bent in een samenwerking met Adobe als externe beveiligingsonderzoeker, kijk dan hier: https://hackerone.com/adobe
Ga voor meer informatie naar https://helpx.adobe.com/nl/security.html of stuur een e-mail naar PSIRT@adobe.com.
