A Adobe lançou nesta terça-feira (10) uma ampla atualização de segurança que corrige 254 vulnerabilidades em diversos produtos, com destaque para o Adobe Experience Manager (AEM), que concentrou 225 dessas falhas. As correções abrangem tanto o AEM Cloud Service quanto versões locais da plataforma até a 6.5.22, sendo implementadas nas versões AEM Cloud Service Release 2025.5 e 6.5.23.

Segundo a empresa, muitas dessas falhas poderiam permitir desde execução arbitrária de código até a elevação de privilégios e bypass de mecanismos de segurança. A maioria dos problemas identificados no AEM envolvia vulnerabilidades de cross-site scripting (XSS), tanto do tipo armazenado quanto baseado em DOM ambos exploráveis para obter execução de código malicioso. Os pesquisadores Jim Green, Akshay Sharma e o usuário identificado como “lpi” foram creditados pelas descobertas.

Além do AEM, a Adobe corrigiu falhas críticas em plataformas voltadas ao comércio eletrônico. O destaque foi a vulnerabilidade CVE-2025-47110, com pontuação CVSS de 9.1, que afetava o Adobe Commerce e o Magento Open Source, permitindo execução remota de código via XSS refletido. Já a falha CVE-2025-43585 (CVSS 8.2) tratava de um problema de autorização inadequada, que poderia ser usado para contornar controles de segurança.

As atualizações também corrigiram quatro falhas em produtos como Adobe InCopy e Substance 3D Sampler (CVSS 7.8). Embora nenhuma vulnerabilidade tenha sido explorada ativamente até o momento, a Adobe recomenda atualização imediata para evitar riscos futuros.