Adobe在12月例行安全更新中,一共修補139個資安漏洞,涵蓋ColdFusion、Adobe Experience Manager(AEM)、Acrobat/Reader、Adobe DNG SDK與Creative Cloud Desktop等產品線。
這波修補有117個漏洞都集中於Adobe Experience Manager(AEM),其中包含2項重大(Critical)等級跨站腳本(XSS)漏洞CVE-2025-64537與CVE-2025-64539,CVSS風險分數皆為9.3;其他則為重要(Important)等級的XSS弱點,CVSS風險分數皆為5.4,成功利用後可能導致任意程式碼執行或權限提升。
ColdFusion本次修補12項安全漏洞,被評為重大等級的漏洞包括:允許上傳危險檔案類型的CVE-2025-61808(CVSS風險分數9.1);輸入驗證不當、可能繞過安全機制的CVE-2025-61809(CVSS 9.1);以及可導致任意程式碼執行的CVE-2025-61830(CVSS 8.4)、CVE-2025-61810(CVSS 8.2)。另有多個重大或重要等級的XXE與權限控管相關弱點,最嚴重可能導致任意檔案讀取、寫入或權限提升。基於上述風險,ColdFusion更新被Adobe列為最高部署優先順序1。
Adobe DNG SDK則修補4項漏洞,其中3項被列為重大等級:CVE-2025-64783(CVSS 7.8)、CVE-2025-64784與CVE-2025-64893(CVSS皆為7.1),分別屬於整數溢出、heap-based緩衝區溢位與越界讀取,可能導致任意程式碼執行或記憶體揭露。另1項達重要等級的CVE-2025-64894(CVSS 5.5),同樣是整數溢出問題,最嚴重可造成應用程式阻斷服務。
在Acrobat/Reader產品線中,Adobe列出兩個重大漏洞CVE-2025-64785與CVE-2025-64899(CVSS皆為7.8),成功利用後可能導致任意程式碼執行。(編按:Adobe資安公告將這兩個漏洞的嚴重性評為重大,不過,就CVSS評分而言,7.8分屬於高度嚴重性漏洞,比重大次一級)
至於Creative Cloud Desktop,Adobe本次公告修補1個重要等級的服務阻斷漏洞CVE-2025-64896。(CVSS評分為5.5,屬於中度嚴重漏洞)
Adobe表示,上述漏洞在公告當下尚未出現遭利用跡象。值得注意的是,相較於其他廠商的資安公告,Adobe目前都會在每篇公告的最前面,標示部署順序,以上述公告為例,ColdFusion更新優先度為1,最為急迫,其餘AEM、DNG SDK、Acrobat/Reader與Creative Cloud Desktop的更新優先度為3,用戶仍應儘速完成部署。
熱門新聞
2025-12-12
2025-12-15
2025-12-12
2025-12-12
2025-12-15
2025-12-15