Adobe łata blisko 140 luk: krytyczne poprawki dla ColdFusion i AEM (grudzień 2025)

Wprowadzenie do problemu / definicja luki

9 grudnia 2025 r. Adobe opublikowało zestaw aktualizacji bezpieczeństwa obejmujący prawie 140 podatności w kilku liniach produktów. Największy ciężar dotyczy Adobe Experience Manager (AEM), gdzie załatano 117 luk, z czego 116 to błędy XSS; istotne poprawki trafiły też do ColdFusion (12 usterek, przede wszystkim RCE), a mniejsze pakiety do Acrobat/Reader, DNG SDK i Creative Cloud Desktop. Adobe deklaruje, iż nie odnotowano aktywnego wykorzystywania tych podatności w środowiskach produkcyjnych.

W skrócie

• AEM: 117 podatności, w tym 2 krytyczne XSS (CVSS 9.3); aktualizacje dla AEM Cloud Service 2025.12 i linii 6.5 (LTS SP1 + hotfix / 6.5.24).
• ColdFusion 2025/2023/2021: 12 usterek; najpoważniejsze to nieograniczony upload plików, niewłaściwa walidacja wejścia oraz deserializacja nieufnych danych prowadzące do RCE (CVSS do 9.1). Priorytet wdrożenia: 1.
• Acrobat/Reader: 2 krytyczne (RCE) + 2 umiarkowane (bypass podpisu kryptograficznego).
• DNG SDK: 2 krytyczne (eksfiltracja pamięci/RCE) + 2 ważne DoS; odkryte m.in. przez Google Project Zero.
• Creative Cloud Desktop (macOS): 1 ważna luka (DoS).
• Na dziś brak informacji o exploitach w środowisku „in the wild”.

Kontekst / historia / powiązania

Zarówno ColdFusion, jak i AEM mają historię krytycznych poprawek wymagających szybkiej reakcji w zespołach utrzymaniowych — z racji ekspozycji na internet i typowego osadzenia w krytycznych przepływach treści oraz komponentach back-end. Grudniowe biuletyny ponownie stawiają te dwa produkty na szczycie listy priorytetów, co Adobe dodatkowo podkreśla ratingiem priorytetu „1” dla ColdFusion i wzmożonymi zaleceniami aktualizacji AEM w chmurze i on-prem.

Analiza techniczna / szczegóły luki

ColdFusion (APSB25-105)

• Zakres: 12 podatności, m.in. CVE-2025-61808 (nieograniczony upload pliku), CVE-2025-61809 (improper input validation), CVE-2025-61830 (deserializacja nieufnych danych) — prowadzące do RCE. CVSS do 9.1.
• Wersje z poprawkami: CF 2025 Update 5, 2023 Update 17, 2021 Update 23. Priorytet: 1.
• Uwagi konfiguracyjne: Adobe przypomina o aktualnych JDK/JRE oraz filtrze serializacji (-Djdk.serialFilter) i lock-down guide.

Adobe Experience Manager (APSB25-115)

• Zakres: 117 podatności — 116 XSS (głównie DOM-based/stored), 1 błąd zależności; wśród nich dwie krytyczne XSS: CVE-2025-64537 i CVE-2025-64539 (CVSS 9.3).
• Wersje z poprawkami: AEM CS 2025.12, AEM 6.5 LTS SP1 (hotfix GRANITE-61551) oraz AEM 6.5.24. Priorytet: 3 (aktualizacja zalecana ASAP, ale bez statusu „aktywnie wykorzystywane”).

Acrobat / Reader (APSB25-119)

• Zakres: 2 krytyczne (RCE: m.in. CWE-426 Untrusted Search Path, CWE-125 Out-of-bounds Read) oraz 2 umiarkowane (CWE-347 — obejście weryfikacji podpisu).
• Wersje z poprawkami: Continuous: 25.001.20997, Classic 2024: 24.001.30307/30308, Classic 2020: 20.005.30838. Priorytet: 3.

DNG SDK (APSB25-118)

• Zakres: 4 podatności — 2 krytyczne (CVE-2025-64783, CVE-2025-64784/64893 — przepełnienia/odczyt spoza zakresu skutkujące ujawnieniem pamięci lub RCE) oraz 1 ważna DoS (CVE-2025-64894).
• Wersje z poprawkami: DNG SDK 1.7.1 build 2140 (Windows/macOS). Priorytet: 3.
• Atrybucje: zgłoszenia m.in. Google Project Zero (Brendon Tiszka, Mateusz Jurczyk).

Creative Cloud Desktop (macOS) (APSB25-120)

• Zakres: 1 ważna luka CWE-379 prowadząca do DoS (CVE-2025-64896).
• Wersje z poprawkami: 6.8.0.821 (macOS). Priorytet: 3.

Praktyczne konsekwencje / ryzyko

• AEM (XSS): masowy charakter błędów XSS oznacza realne ryzyko kradzieży tokenów sesyjnych, eskalacji uprawnień w konsoli administracyjnej czy defacementu treści w łańcuchach publikacji. W środowiskach z integracjami (np. headless/SPA) XSS może stać się krokiem w lateral movement.
• ColdFusion (RCE/XXE): luka uploadu oraz deserializacji umożliwia zdalne wykonanie kodu i odczyt/zapis w systemie plików — typowy wektor do web shelli i przejęcia hosta aplikacyjnego.
• Acrobat/Reader (RCE + bypass podpisu): w scenariuszach „weaponized PDF” to prosta droga do post-exploitation na stacjach roboczych; luki w weryfikacji podpisu mogą podważać zaufanie do przepływów dokumentów.
• DNG SDK: projekty korzystające z SDK (konwertery/thumbnailery) narażone są na RCE/eksfiltrację pamięci w trakcie przetwarzania złośliwych plików DNG.

Rekomendacje operacyjne / co zrobić teraz

1. Nadaj priorytety:
   • P1: ColdFusion (APSB25-105) — wdrożenie Update 5/17/23 odpowiednio dla linii 2025/2023/2021. Zastosuj aktualny JDK/JRE, serialFilter i wytyczne Lockdown Guide.
   • P1/P2: AEM (APSB25-115) — AEM CS 2025.12 lub 6.5 LTS SP1 (hotfix)/6.5.24; dodatkowo przejrzyj Security Considerations i pakiet Anonymous Permission Hardening.
2. Endpointy: zaktualizuj Acrobat/Reader do wersji 25.001.20997 / 24.001.30307/30308 / 20.005.30838 w zależności od kanału. Włącz aktualizacje automatyczne.
3. Biblioteki/CI: zaktualizuj DNG SDK do 1.7.1 build 2140 i przeprowadź rebuild zależnych komponentów.
4. macOS fleet: Creative Cloud Desktop 6.8.0.821 (macOS). Zweryfikuj MDM, czy poprawka trafiła do wszystkich urządzeń.
5. Hardening i detekcja:
   • W AEM zastosuj reguły WAF pod kątem DOM/stored XSS, CSP oraz filtrowanie wejścia (serwisy author/publish).
   • W ColdFusion zablokuj nieużywane endpointy, waliduj upload MIME/rozszerzenia, monitoruj anomalie w ścieżkach aplikacji i logach serwletów.
6. Threat hunting: przeszukaj logi pod kątem nietypowych uploadów, błędów deserializacji/XXE, oraz zdarzeń PDF-viewer prowadzących do crashy (sygnał prób exploitacji).
7. Zarządzanie ryzykiem: odśwież SBOM komponentów wykorzystujących AEM/ColdFusion/DNG SDK; zinwentaryzuj zależności third-party wskazane w APSB.

Różnice / porównania z innymi przypadkami

W porównaniu z przeciętnymi wydaniami biuletynów Adobe, grudniowy pakiet wyróżnia niespotykane nasycenie XSS w AEM (ponad setka podatności) oraz zestaw krytycznych RCE w ColdFusion. Taka kombinacja oznacza równoległy presing na warstwie CMS (AEM) i back-endowej (ColdFusion), co rzadko występuje w jednym cyklu łatania.

Podsumowanie / najważniejsze wnioski

• Jeżeli utrzymujesz AEM lub ColdFusion, potraktuj grudniowe aktualizacje jako pilne — choćby jeżeli brak potwierdzonych exploitów.
• W środowiskach desktopowych zaktualizuj Acrobat/Reader, aby ograniczyć ryzyko „weaponized PDF”.
• Zadbaj o dyscyplinę konfiguracyjną (JDK/serialFilter/Lockdown dla ColdFusion, CSP/WAF dla AEM) i telemetrię pod kątem XSS/RCE.

Źródła / bibliografia

• SecurityWeek — Adobe Patches Nearly 140 Vulnerabilities (9 grudnia 2025). (SecurityWeek)
• Adobe PSIRT — strona główna aktualizacji (9 grudnia 2025). (Adobe Help Center)
• APSB25-105 — ColdFusion. (Adobe Help Center)
• APSB25-115 — Adobe Experience Manager. (Adobe Help Center)
• APSB25-119 — Acrobat/Reader. (Adobe Help Center)
• APSB25-118 — DNG SDK. (Adobe Help Center)
• APSB25-120 — Creative Cloud Desktop (macOS). (Adobe Help Center)