5月13日Adobe发布每月例行更新,针对旗下13款产品发布软件更新,修补39项安全弱点,数量较上个月54个减少。值得留意的是,这次大部分的漏洞都被评为重大层级,仅有8个列为高度及中度层级。
从修补的优先级来看,应用程序开发平台ColdFusion最值得留意,因为Adobe将其修补的优先顺串行为最高(第1级),这样的情况与上个月相同。此外,从漏洞的数量来看,这次ColdFusion修补的漏洞最多,有7个,但其中6个被评为重大风险,有5个CVSS风险达到9.1分,1个为8.4分,远高于其他应用程序的重大漏洞危险程度(7.8分)。
这些漏洞分别是:CVE-2025-43559、CVE-2025-43560、CVE-2025-43561、CVE-2025-43562、CVE-2025-43563、CVE-2025-43564、CVE-2025-43565,大部分可被用于执行任意程序代码,其中的CVE-2025-43559能读取任意系统文件,而CVE-2025-43563则与权限提升有关。这些漏洞涉及不当输入验证、不当访问控制、操作系统命令注入,以及不当授权。Adobe发布了ColdFusion 2025 Update 2、ColdFusion 2023 Update 14、ColdFusion 2021 Update 20修补上述漏洞。
但除了上述的ColdFusion重大漏洞,存在于视频会议系统Adobe Connect的弱点也值得留意,其中CVE-2025-43567为反射跨网站脚本(Reflected XSS)漏洞,攻击者可用来注入恶意脚本,从而在用户访问网页的时候执行,一旦成功利用,就能劫持连接阶段(Session),从而提升权限,CVSS风险达到9.3分,是这次修补最为危险的漏洞。
