Adobe lançou correções para 139 vulnerabilidades em dezembro de 2025, com foco crítico em ColdFusion (12 falhas, várias de RCE) e Experience Manager (117 falhas, sendo 116 XSS), todas com atualizações atuais como prioridade 1 para aplicação imediata.
ColdFusion: 12 falhas, 3 críticas
ColdFusion 2025, 2023 e 2021 recebeu patches que corrigem 12 vulnerabilidades, a maioria passível de exploração para execução arbitrária de código. As mais sepulturas são:
- CVE-2025-61808 (CWE‑434): upload irrestrito de arquivo perigoso, permitindo que um goleiro envie arquivos maliciosos e lucro RCE (CVSS 9,1).
- CVE-2025-61809: falha de validação de entrada que também pode resultar na execução de código.
- CVE-2025-61830: dessarialização de dados não confiável, outro vetor clássico de RCE.
As correções estão em Atualização 5 do ColdFusion 2025, Atualização 7 do ColdFusion 2023 e Atualização 23 do ColdFusion 2021que tratam todas as 12 falhas em um único ciclo de atualização.
Gerente de Experiência (AEM): 117 vulnerabilidades
Sem AEM, a atualização de dezembro resolve 117 vulnerabilidadesdas quais 116 são falhas de cross-site scripting (XSS) — duas marcadas como críticas (CVE‑2025‑64537 e CVE‑2025‑64539, CVSS 9,3) e 114 de severidade média. Há ainda uma vulnerabilidade de alta severidade relacionada à dependência de um componente de terceiros vulnerável.
Todas são corrigidas em Versão do serviço de nuvem AEM 2025.12 e nas versões no local AEM 6.5 LTS SP1 (hotfix GRANITE‑61551) e AEM 6.5.24. Vários XSS podem permitir a injeção de JavaScript em formulários e páginas, causando roubo de sessão, desfiguração de conteúdo ou pivotagem para outras aplicações integradas.
Outras correções em produtos Adobe
Além de ColdFusion e AEM, a Adobe também publicou:
- Patches para SDK DNG corrigindo duas falhas de alta e duas de severidade média.
- Atualizações para Acrobat e Reader que tratam duas vulnerabilidades de alta e duas de baixa severidade.
- Uma correção de gravidade média não Creative Cloud Desktop para macOS.
A empresa afirma não ter evidência de exploração ativa de nenhuma das vulnerabilidades, mas o volume e a criticidade das falhas no ColdFusion e AEM motivaram a classificação de prioridade “1”, definindo que os administradores devem aplicar as atualizações o mais rápido possível.
