Adobe产品多重漏洞可导致任意代码执行

本文详细分析了Adobe多款产品中发现的严重安全漏洞,包括Adobe Commerce、ColdFusion、Photoshop等产品的代码执行漏洞,提供了受影响版本列表、技术细节和修复建议,帮助企业及时防范安全风险。

Adobe产品多重漏洞可导致任意代码执行

MS-ISAC 公告编号:2025-039
发布日期:2025年4月8日

概述

在Adobe产品中发现多个漏洞,其中最严重的漏洞可能允许任意代码执行。

Adobe Commerce是一个可组合的电子商务解决方案,可快速创建全球多品牌B2C和B2B体验。
Adobe Experience Manager (AEM) Forms是AEM平台内的解决方案,允许企业创建、管理和部署数字表单,与后端流程、业务规则和数据集成,实现跨Web和移动渠道的无缝客户体验。
Adobe ColdFusion是一个商业化的快速Web应用程序开发平台和脚本语言(CFML),简化了动态Web应用程序的构建,允许轻松与数据库、API和其他系统集成,并支持本地和云部署。
Adobe After Effects是一款功能强大的软件,用于在电影、电视和在线内容中创建运动图形、视觉特效和合成。
Adobe Media Encoder是一个独立的媒体转码和渲染应用程序,是Adobe Creative Cloud的一部分,允许用户将视频和音频文件转换和导出为各种格式,针对不同平台进行优化,并自动化工作流程。
Adobe Bridge是一款免费的数字化资产管理软件,可快速轻松地预览、组织、编辑和发布创意资产,包括图像、视频和其他文件。
Adobe Premiere Pro是一款专业级、基于时间线的非线性视频编辑软件,用于剪辑镜头、添加效果、色彩校正和音频混合等任务。
Adobe Photoshop是一款功能强大、行业领先的栅格图形编辑器和图像编辑软件,由Adobe开发,被摄影师、平面设计师和艺术家用于创建、编辑和处理数字图像。
Adobe Animate是一款用于创建交互式动画、多媒体内容和Web应用程序的软件应用程序,允许用户为卡通、横幅、游戏和Web设计动画。
Adobe Experience Manager (AEM) Screens是一个数字标牌解决方案,允许在物理场所的各种屏幕和显示器上创建、管理和发布动态和交互式数字体验,构建在AEM平台之上。
Adobe FrameMaker是一款功能强大、市场领先的文档处理器和创作工具,主要用于创建和发布大型、复杂和结构化的技术文档,包括手册、在线帮助和其他技术内容,支持PDF、HTML5等多种格式。
Adobe XMP Toolkit SDK是一组文档和库,允许开发人员将XMP(可扩展元数据平台)功能集成到其应用程序中,使其能够读取、写入和操作各种文件格式中的元数据。

成功利用这些漏洞中最严重的漏洞可能允许在登录用户的上下文中执行任意代码。根据与用户关联的权限,攻击者可以安装程序;查看、更改或删除数据;或创建具有完全用户权限的新帐户。与具有管理用户权限的用户相比,帐户配置为在系统上具有较少用户权限的用户可能受到的影响较小。

威胁情报

目前没有这些漏洞在野外被利用的报告。

受影响系统

  • Adobe Commerce 2.4.8-beta2
  • Adobe Commerce 2.4.7-p4及更早版本
  • Adobe Commerce 2.4.6-p9及更早版本
  • Adobe Commerce 2.4.5-p11及更早版本
  • Adobe Commerce 2.4.4-p12及更早版本
  • Adobe Commerce B2B 1.5.1及更早版本
  • Adobe Commerce B2B 1.5.1及更早1.4.2-p4及更早版本
  • Adobe Commerce B2B 1.5.1及更早1.3.5-p9及更早版本
  • Adobe Commerce B2B 1.5.1及更早1.3.4-p11及更早版本
  • Adobe Commerce B2B 1.5.1及更早1.3.3-p12及更早版本
  • Magento Open Source 2.4.8-beta2
  • Magento Open Source 2.4.7-p4及更早版本
  • Magento Open Source 2.4.6-p9及更早版本
  • Magento Open Source 2.4.5-p11及更早版本
  • Magento Open Source 2.4.4-p12及更早版本
  • Adobe Experience Manager (AEM) Forms on JEE 6.5.22.0 (AEMForms-6.5.0-0093)及更早版本
  • ColdFusion 2025
  • ColdFusion 2023 Update 12及更早版本
  • ColdFusion 2021 Update 18及更早版本
  • Adobe After Effects 24.6.4及更早版本
  • Adobe After Effects 25.1及更早版本
  • Adobe Media Encoder 24.6.4及更早版本
  • Adobe Media Encoder 25.1及更早版本
  • Adobe Bridge 14.1.5及更早版本
  • Adobe Bridge 15.0.2及更早版本
  • Adobe Premiere Pro 25.1及更早版本
  • Adobe Premiere Pro 24.6.4及更早版本
  • Photoshop 2025 26.4.1及更早版本
  • Photoshop 2024 25.12.1及更早版本
  • Adobe Animate 2023 23.0.10及更早版本
  • Adobe Animate 2024 24.0.7及更早版本
  • Adobe Experience Manager (AEM) Screens AEM 6.5 Screens FP11.3及更早版本
  • Adobe FrameMaker 2020 Release Update 7及更早版本
  • Adobe FrameMaker 2022 Release Update 5及更早版本
  • Adobe XMP-Toolkit-SDK 2023.12及更早版本

风险等级

政府机构:

  • 大型和中型政府实体:高
  • 小型政府实体:中

企业:

  • 大型和中型企业实体:高
  • 小型企业实体:中

家庭用户:低

技术摘要

在Adobe产品中发现多个漏洞,其中最严重的漏洞可能允许任意代码执行。这些漏洞的详细信息如下:

策略:执行 (TA0002)
技术:利用客户端执行 (T1203)

Adobe Commerce:

  • 不当授权 (CVE-2025-27188)
  • 跨站请求伪造 (CSRF) (CVE-2025-27189)
  • 不当访问控制 (CVE-2025-27190, CVE-2025-27191)
  • 凭据保护不足 (CVE-2025-27192)

Adobe Experience Manager Forms:

  • 路径遍历 (CVE-2024-38819)
  • 大小写敏感匹配异常 (CVE-2024-38820)

Adobe ColdFusion:

  • 不当输入验证 (CVE-2025-24446, CVE-2025-30293, CVE-2025-30294)
  • 不可信数据反序列化 (CVE-2025-24447, CVE-2025-30284, CVE-2025-30285)
  • 不当访问控制 (CVE-2025-30281, CVE-2025-30288)
  • 不当身份验证 (CVE-2025-30282, CVE-2025-30287)
  • 对OS命令中使用的特殊元素中和不当(OS命令注入)(CVE-2025-30286, CVE-2025-30289)
  • 对受限目录路径名限制不当(路径遍历)(CVE-2025-30290)
  • 信息泄露 (CVE-2025-30291)
  • 跨站脚本(反射型XSS)(CVE-2025-30292)

Adobe After Effects:

  • 越界写入 (CVE-2025-27182, CVE-2025-27183)
  • 越界读取 (CVE-2025-27184, CVE-2025-27186, CVE-2025-27187, CVE-2025-27204)
  • NULL指针解引用 (CVE-2025-27185)

Adobe Media Encoder:

  • 越界写入 (CVE-2025-27194)
  • 基于堆的缓冲区溢出 (CVE-2025-27195)

Adobe Bridge:

  • 基于堆的缓冲区溢出 (CVE-2025-27193)

Adobe Premiere Pro:

  • 基于堆的缓冲区溢出 (CVE-2025-27196)

Adobe Photoshop:

  • 基于堆的缓冲区溢出 (CVE-2025-27198)

Adobe Animate:

  • 基于堆的缓冲区溢出 (CVE-2025-27199)
  • 释放后使用 (CVE-2025-27200)
  • 越界读取 (CVE-2025-27201, CVE-2025-27202)

Adobe Experience Manager Screens:

  • 跨站脚本(反射型XSS)(CVE-2025-27205)

Adobe FrameMaker:

  • 越界写入 (CVE-2025-30304, CVE-2025-30297)
  • 基于堆的缓冲区溢出 (CVE-2025-30295, CVE-2025-30299)
  • 整数下溢(环绕)(CVE-2025-30296)
  • 基于堆栈的缓冲区溢出 (CVE-2025-30298)
  • NULL指针解引用 (CVE-2025-30300, CVE-2025-30301)
  • 越界读取 (CVE-2025-30302, CVE-2025-30303)

Adobe XMP Toolkit SDK:

  • 越界读取 (CVE-2025-30305, CVE-2025-30306, CVE-2025-30307, CVE-2025-30308, CVE-2025-30309)

成功利用这些漏洞中最严重的漏洞可能允许在登录用户的上下文中执行任意代码。根据与用户关联的权限,攻击者可以安装程序;查看、更改或删除数据;或创建具有完全用户权限的新帐户。与具有管理用户权限的用户相比,帐户配置为在系统上具有较少用户权限的用户可能受到的影响较小。

建议措施

我们建议采取以下行动:

  • 在适当测试后立即将Adobe提供的稳定通道更新应用到易受攻击的系统。(M1051: 更新软件)

  • 保障措施7.1:建立和维护漏洞管理流程:为企业资产建立和维护文档化的漏洞管理流程。每年或在发生可能影响此保障措施的重大企业变更时审查和更新文档。

  • 保障措施7.2:建立和维护修复流程:建立和维护基于风险的修复策略,记录在修复流程中,每月或更频繁地进行审查。

  • 保障措施7.6:执行外部暴露企业资产的自动化漏洞扫描:使用符合SCAP的漏洞扫描工具执行外部暴露企业资产的自动化漏洞扫描。每月或更频繁地执行扫描。

  • 保障措施7.7:修复检测到的漏洞:根据修复流程,每月或更频繁地通过流程和工具修复软件中检测到的漏洞。

  • 保障措施16.13:进行应用程序渗透测试:进行应用程序渗透测试。对于关键应用程序,经过身份验证的渗透测试比代码扫描和自动化安全测试更适合发现业务逻辑漏洞。渗透测试依赖于测试人员作为经过身份验证和未经身份验证的用户手动操作应用程序的技能。

  • 保障措施18.1:建立和维护渗透测试计划:建立和维护适合企业规模、复杂性和成熟度的渗透测试计划。渗透测试计划特征包括范围,如网络、Web应用程序、应用程序编程接口(API)、托管服务和物理场所控制;频率;限制,如可接受的时间和排除的攻击类型;联系点信息;修复,如如何内部路由发现;以及回顾要求。

  • 保障措施18.2:执行定期外部渗透测试:根据计划要求执行定期外部渗透测试,不少于每年一次。外部渗透测试必须包括企业和环境侦察以检测可利用信息。渗透测试需要专业技能和经验,必须通过合格方进行。测试可以是白盒或黑盒。

  • 保障措施18.3:修复渗透测试发现:根据企业的修复范围和优先级策略修复渗透测试发现。

  • 对所有系统和服务应用最小权限原则。以非特权用户(没有管理权限的用户)身份运行所有软件,以减少成功攻击的影响。(M1026: 特权账户管理)

  • 保障措施4.7:管理企业资产和软件上的默认账户:管理企业资产和软件上的默认账户,如root、administrator和其他预配置的供应商账户。示例实现可以包括:禁用默认账户或使其无法使用。

  • 保障措施5.4:将管理员权限限制为专用管理员账户:将管理员权限限制为企业资产上的专用管理员账户。从用户的主要非特权账户进行一般计算活动,如互联网浏览、电子邮件和生产力套件使用。

  • 限制使用某些网站,阻止下载/附件,阻止JavaScript,限制浏览器扩展等。(M1021: 限制基于Web的内容)

  • 保障措施2.3:处理未经授权的软件:确保从企业资产中移除未经授权的软件或获得文档化的例外。每月或更频繁地审查。

  • 保障措施2.7:允许列表授权的脚本:使用技术控制,如数字签名和版本控制,确保只有授权的脚本,如特定的.ps1、.py等文件,被允许执行。阻止未经授权的脚本执行。每半年或更频繁地重新评估。

  • 保障措施9.3:维护和执行基于网络的URL过滤器:强制执行和更新基于网络的URL过滤器,以限制企业资产连接到潜在恶意或未经批准的网站。示例实现包括基于类别的过滤、基于声誉的过滤或使用阻止列表。对所有企业资产强制执行过滤器。

  • 保障措施9.6:阻止不必要的文件类型:阻止尝试进入企业电子邮件网关的不必要文件类型。

  • 使用功能检测和阻止可能导致或指示软件利用发生的条件。(M1050: 利用保护)

  • 保障措施10.5:启用防利用功能:在可能的情况下,在企业资产和软件上启用防利用功能,如Microsoft®数据执行保护(DEP)、Windows® Defender Exploit Guard (WDEG)或Apple®系统完整性保护(SIP)和Gatekeeper™。

  • 通过应用程序控制和/或脚本阻止阻止在系统上执行代码。(M1038: 执行预防)

  • 保障措施2.5:允许列表授权的软件:使用技术控制,如应用程序允许列表,确保只有授权的软件可以执行或访问。每半年或更频繁地重新评估。

  • 保障措施2.6:允许列表授权的库:使用技术控制确保只有授权的软件库,如特定的.dll、.ocx、.so等文件,被允许加载到系统进程中。阻止未经授权的库加载到系统进程中。每半年或更频繁地重新评估。

  • 保障措施2.7:允许列表授权的脚本:使用技术控制,如数字签名和版本控制,确保只有授权的脚本,如特定的.ps1、.py等文件,被允许执行。阻止未经授权的脚本执行。每半年或更频繁地重新评估。

  • 使用功能防止在端点系统上发生可疑行为模式。这可能包括可疑的进程、文件、API调用等行为。(M1040: 端点行为预防)

  • 保障措施13.2:部署基于主机的入侵检测解决方案:在适当和/或支持的情况下,在企业资产上部署基于主机的入侵检测解决方案。

  • 保障措施13.7:部署基于主机的入侵防御解决方案:在适当和/或支持的情况下,在企业资产上部署基于主机的入侵防御解决方案。示例实现包括使用端点检测和响应(EDR)客户端或基于主机的IPS代理。

参考链接

  • Adobe安全公告中心:https://helpx.adobe.com/security/Home.html
  • Adobe Commerce安全公告:https://helpx.adobe.com/security/products/magento/apsb25-26.html
  • Adobe AEM Forms安全公告:https://helpx.adobe.com/security/products/aem-forms/apsb25-27.html
  • Adobe ColdFusion安全公告:https://helpx.adobe.com/security/products/coldfusion/apsb25-15.html
  • Adobe After Effects安全公告:https://helpx.adobe.com/security/products/after_effects/apsb25-23.html
  • Adobe Media Encoder安全公告:https://helpx.adobe.com/security/products/media-encoder/apsb25-24.html
  • Adobe Bridge安全公告:https://helpx.adobe.com/security/products/bridge/apsb25-25.html
  • Adobe Premiere Pro安全公告:https://helpx.adobe.com/security/products/premiere_pro/apsb25-28.html
  • Adobe Photoshop安全公告:https://helpx.adobe.com/security/products/photoshop/apsb25-30.html
  • Adobe Animate安全公告:https://helpx.adobe.com/security/products/animate/apsb25-31.html
  • Adobe AEM Screens安全公告:https://helpx.adobe.com/security/products/aem-screens/apsb25-32.html
  • Adobe FrameMaker安全公告:https://helpx.adobe.com/security/products/framemaker/apsb25-33.html
  • Adobe XMP Toolkit SDK安全公告:https://helpx.adobe.com/security/products/xmpcore/apsb25-34.html
comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次