Adobe schließt 254 Sicherheitslücken : Besonders AEM, Commerce und Magento betroffen
Adobe hat ein umfassendes Sicherheitsupdate veröffentlicht und dabei 254 Schwachstellen geschlossen. Besonders betroffen ist der Adobe Experience Manager (AEM), aber auch Adobe Commerce und Magento Open Source erhalten Patches gegen kritische Lücken. Viele der Fehler ermöglichen im Extremfall die Ausführung beliebigen Codes – IT-Abteilungen sollten jetzt handeln.
Der Großteil der geschlossenen Lücken – ganze 225 Schwachstellen – betrifft den Adobe Experience Manager (AEM), insbesondere die AEM Cloud Service-Versionen sowie alle Installationen bis einschließlich Version 6.5.22. Die kritischen Sicherheitslücken wurden in den aktuellen Releases AEM Cloud Service 2025.5 sowie AEM 6.5.23 behoben.
Laut Adobe könnten Angreifer über diese Schwachstellen beliebigen Code ausführen, Rechte eskalieren oder Sicherheitsmechanismen umgehen. Im Fokus stehen vor allem Cross-Site-Scripting-Angriffe (XSS) – konkret handelt es sich um eine Kombination aus persistenten (Stored XSS) und DOM-basierten XSS-Lücken, die im Browser-Client-Code wirken und über manipulierte Nutzereingaben eingeschleust werden können.
Die Schwachstellen wurden unter anderem von den Sicherheitsexperten Jim Green (green-jam), Akshay Sharma (anonymous_blackzero) und lpi entdeckt und gemeldet – ein klares Beispiel für die Bedeutung verantwortungsvoller Offenlegung und aktiver Sicherheitscommunitys.
Kritische Lücken in Adobe Commerce und Magento
Besonders brisant ist eine neue Schwachstelle in Adobe Commerce und Magento Open Source, die mit einem CVSS-Score von 9,1 als kritisch eingestuft wurde. Die als CVE-2025-47110 dokumentierte Sicherheitslücke ist eine reflektierte XSS-Schwachstelle, die zur Ausführung beliebigen Codes missbraucht werden kann – zum Beispiel durch speziell präparierte URLs oder manipulierte Eingabefelder im Shop-Frontend.
Zusätzlich wurde mit CVE-2025-43585 eine weitere Lücke geschlossen, bei der es sich um eine Autorisierungsschwäche handelt. Diese erlaubt es Angreifern unter Umständen, Sicherheitsfunktionen zu umgehen und auf Funktionen oder Daten zuzugreifen, die eigentlich gesperrt sein sollten (CVSS-Score: 8,2).
Folgende Versionen sind betroffen:
- Adobe Commerce: 2.4.8, 2.4.7-p5 und früher, 2.4.6-p10 und früher, 2.4.5-p12 und früher, 2.4.4-p13 und früher
- Magento Open Source: dieselben Versionen wie Adobe Commerce
- Adobe Commerce B2B: 1.5.2 und früher, bis hinunter zu 1.3.3-p13
Shop-Betreiber sollten die Sicherheitsaktualisierungen unverzüglich einspielen, um potenziellen Angriffen vorzubeugen.
Weitere betroffene Anwendungen: InCopy und Substance 3D Sampler
Neben den Enterprise-Lösungen sind auch Kreativanwendungen betroffen: In Adobe InCopy wurden gleich zwei Schwachstellen mit dem CVSS-Wert 7,8 entdeckt (CVE-2025-30327 und CVE-2025-47107), die eine Codeausführung durch manipulierte Dateien ermöglichen.
Auch das Tool Substance 3D Sampler, das unter anderem in der Produktvisualisierung und Texturerstellung eingesetzt wird, weist zwei kritische Lücken auf (CVE-2025-43581 und CVE-2025-43588, CVSS: 7,8). In beiden Fällen ist ein Angriff über präparierte Projektdateien denkbar.
Empfehlung: Jetzt updaten – Angriffswellen können folgen
Obwohl Adobe aktuell keine Hinweise auf eine aktive Ausnutzung dieser Schwachstellen im Internet meldet, ist Vorsicht geboten. Erfahrungsgemäß nutzen Cyberkriminelle veröffentlichte Sicherheitslücken bereits wenige Tage nach Bekanntwerden systematisch aus – insbesondere bei populären Plattformen wie AEM, Magento oder Adobe Commerce.
Administratorinnen und Administratoren sollten daher dringend prüfen, ob betroffene Versionen im Einsatz sind – insbesondere in produktiven Cloud-Umgebungen oder im E-Commerce. Adobe stellt auf seiner Website detaillierte Patch-Informationen und aktualisierte Installationspakete bereit.
Das Juni-Update von Adobe ist eines der umfangreichsten Sicherheitsupdates der letzten Jahre. Es betrifft sowohl zentrale Unternehmensplattformen als auch kreative Spezialanwendungen – und sollte keinesfalls aufgeschoben werden. Wer jetzt patcht, verhindert nicht nur Compliance-Verstöße, sondern schützt sein Unternehmen aktiv vor schwerwiegenden Sicherheitsvorfällen.