Adobe je sa septembarskim Patch Tuesday ažuriranjima 2025. godine ispravio skoro dvije desetine ranjivosti u devet svojih proizvoda, uključujući kritične propuste u ColdFusion i Commerce platformama.
Kritična ranjivost u ColdFusion, praćena kao CVE-2025-54261 sa CVSS ocjenom 9.0, opisana je kao problem sa path traversal tehnikom koji može dovesti do proizvoljnog upisa u fajl sistem. Ona pogađa ColdFusion 2021, 2023 i 2025 verzije na svim platformama.
Adobe navodi da trenutno nema dokaza o aktivnom iskorištavanju CVE-2025-54261, ali je propustu dodijeljen prioritetni rejting ‘1’, što znači da bi trebalo da se zakrpi što je prije moguće (preporuka je u roku od 72 sata). Hakeri često zloupotrebljavaju ColdFusion ranjivosti u napadima – posljednja je CVE-2024-20767, zakrpljena u martu 2024, a aktivno iskorištavana već u decembru iste godine.
Internet skeniranja pokazuju da su stotine hiljada ColdFusion instanci izložene mreži i potencijalno ranjive na napade.
Druga kritična ranjivost ispravljena ovim ciklusom, CVE-2025-54236, pogađa Commerce i Magento Open Source. Omogućava neautentifikovanom napadaču da zaobiđe bezbjednosni mehanizam, a s obzirom da su Magento propusti često meta napada, Adobe je istakao važnost hitne primjene zakrpe.
Pored ovih, zakrpljene su i ranjivosti visokog rizika u Acrobat Reader-u, Premiere Pro-u, Substance 3D Viewer-u, Experience Manageru (AEM), Dreamweaver-u i Substance 3D Modeler-u. One omogućavaju izvršavanje proizvoljnog koda i zaobilaženje bezbjednosnih funkcija. Iako ih Adobe u svojim bilješkama označava kao „kritične“, njihova CVSS ocjena ih svrstava u kategoriju „visoke ozbiljnosti“.
Takođe, srednje i nisko rizične ranjivosti ispravljene su u Acrobat Reader-u, Experience Manageru (AEM) i After Effects-u. One mogu dovesti do zaobilaženja bezbjednosnih funkcija ili curenja memorije.
Za ove propuste visokog i srednjeg rizika dodijeljen je prioritetni rejting ‘3’, što znači da Adobe ne očekuje njihovo aktivno iskorištavanje u napadima.
Istog dana, Microsoft je objavio ažuriranja kojima je zakrpio 86 ranjivosti u okviru svog Patch Tuesday ciklusa.
Izvor: SecurityWeek
