Adobe 于周二推送了安全更新，以解决其软件产品中的254个安全漏洞，其中大多数影响Experience Manager (AEM)。

在254个缺陷中，225个存在于AEM中，影响了AEM Cloud Service (CS) 以及所有版本（包括6.5.22）。这些问题在AEM Cloud Service版本2025.5和版本6.5.23中已经解决。

"成功利用这些漏洞可能会导致任意代码执行、权限提升和安全功能绕过，" Adobe 说道在一份公告中。

几乎所有的225个漏洞都被归类为跨站脚本（XSS）漏洞，具体来说是存储型XSS和基于DOM的XSS的混合，这些漏洞可以被利用来实现任意代码执行。

Adobe 已经将发现和报告 XSS 漏洞的信用归给安全研究人员 Jim Green (green-jam)、Akshay Sharma (anonymous_blackzero) 和 lpi。

作为本月更新的一部分，公司修补的最严重的漏洞涉及Adobe Commerce和Magento开源版中的代码执行漏洞。

被评估为严重漏洞的CVE-2025-47110（CVSS评分：9.1）是一个反射型XSS漏洞，可能导致任意代码执行。另一个被解决的问题是不适当的授权缺陷（CVE-2025-43585，CVSS评分：8.2），可能导致安全功能绕过。

以下版本受到影响 -

Adobe Commerce (2.4.8, 2.4.7-p5 及更早版本, 2.4.6-p10 及更早版本, 2.4.5-p12 及更早版本, 和 2.4.4-p13 及更早版本)

Adobe Commerce B2B（1.5.2 及更早版本，1.4.2-p5 及更早版本，1.3.5-p10 及更早版本，1.3.4-p12 及更早版本，和 1.3.3-p13 及更早版本）

Magento 开源版 (2.4.8, 2.4.7-p5 及更早版本, 2.4.6-p10 及更早版本, 2.4.5-p12 及更早版本)

其余更新中，有四个与 Adobe InCopy 中的代码执行缺陷有关 (CVE-2025-30327, CVE-2025-47107, CVSS评分: 7.8) 和 Substance 3D Sampler 中的代码执行缺陷 (CVE-2025-43581, CVE-2025-43588, CVSS评分: 7.8)。

虽然这些漏洞尚未被列为已公开或在野外被利用，但建议用户将他们的实例更新到最新版本，以防范潜在威胁。