La empresa Adobe agrego una importante actualización por vulnerabilidades, cubrieron un total de 254 fallas que afectaban sus sistemas.
Dentro de las 254 fallas 225 vienen de AEM afectando así AEM Cloud Service (CS). Esto afecta todas las versiones anteriores a la 6.5.22.
La mayoría de las 225 fallas fue clasificada como ataques de XXS o Cross-site scripting.
¿Qué es un ataque de Cross-Site Scripting (XSS)?
Este es un tipo ataque dirigido mayormente a la web, pero no al lado de los servidores de un sitio sino más bien a las personas que ingresan a él.
Existen 3 tipos de ataques de Coss-Site Scripting los cuales son:
XSS reflejado
En esta variación del ataque la carga maliciosa se coloca directamente en la solicitud HTTP de algún servidor y se ve reflejada de vuelta en el navegador del usuario en cuestión.
XSS almacenado
Esta variación es la más peligrosa de las tres puesto que el atacante no necesita tener una interacción concreta con la víctima. Aquí el atacante carga de manera permanente el script malicioso en el servidor, por ejemplo: En un comentario de algún sitio web. A la hora que la víctima ve el comentario se procede a correr el script y podría robar la cookie de inicio de sesión del usuario.
XXS basado en DOM
En este caso la vulnerabilidad reside en el código Java Script del cliente que manipula el DOM de la página web. Esta no es reflejada o almacenada como en los casos anteriores si no que el script del lado del cliente toma datos de una fuente controlada por el atacante como una URL y luego lo escribe de forma insegura en el DOM.
La mayor parte de las fallas encontradas en Adobe son de las variaciones XSS almacenado y XSS basado en DOM.
La vulnerabilidad más crítica afecta a Adobe Commerce y Magento Open Source. Está siendo calificada como critica CVE-2025-47110 es un fallo que puede permitir el correr código arbitrario.
Dentro de las fallas también se corrió una de autorización incorrecta CVE-2025-43585 que podría provocar una omisión de las funciones de seguridad.
Las versiones afectas son las siguientes:
- Adobe Commerce (2.4.8, 2.4.7-p5 y versiones anteriores, 2.4.6-p10 y versiones anteriores, 2.4.5-p12 y versiones anteriores y 2.4.4-p13 y versiones anteriores)
- Adobe Commerce B2B (1.5.2 y versiones anteriores, 1.4.2-p5 y versiones anteriores, 1.3.5-p10 y versiones anteriores, 1.3.4-p12 y versiones anteriores y 1.3.3-p13 y versiones anteriores)
- Código abierto de Magento (2.4.8, 2.4.7-p5 y anteriores, 2.4.6-p10 y anteriores, 2.4.5-p12 y anteriores)
Impactos potenciasles de un ataque XsS
- Robo de Cookies de Sesión: Permite al atacante suplantar la identidad de la víctima en el sitio web (robo de sesión).
- Desfiguración de la Página Web: Modificar el contenido de la página web a la vista de la víctima.
- Redirecciones Maliciosas: Redirigir a la víctima a sitios web de phishing o malware.
- Ejecución de Acciones No Autorizadas: Forzar a la víctima a realizar acciones en el sitio web sin su conocimiento (por ejemplo, cambiar contraseñas, realizar transferencias de dinero).
Recomendaciones
- Nunca confíes en la entrada del usuario. Antes de procesar o almacenar cualquier dato ingresado por el usuario, se debe validar, filtrar o sanear rigurosamente para eliminar o neutralizar cualquier código ejecutable.
- Antes de mostrar datos en una página web (especialmente si provienen de entradas de usuario), se deben “codificar” (escapar) los caracteres especiales HTML (<, >, “, ‘, &). Esto asegura que el navegador interprete los datos como texto plano y no como código HTML o JavaScript.
- Se recomienda actualizar el servicio Adobe Experience Manager (AEM) hacia la versión 6.5.23.
