Adobe 週二宣布推出針對其產品中近 140 個漏洞的修補程式，其中包括 ColdFusion 和 Experience Manager 中的嚴重漏洞。這次大規模的安全修復行動凸顯了企業軟體環境中持續存在的廣泛安全挑戰。

ColdFusion 漏洞：多個任意程式碼執行 (RCE) 威脅

ColdFusion 修復了 12 個安全缺陷，其中大多數缺陷可能被利用來執行任意程式碼。

ColdFusion 是一種流行的應用程式開發平台，其核心缺陷往往會帶來極高的風險，因為它可能允許攻擊者在底層伺服器上執行任意程式碼（Remote Code Execution, RCE），從而完全控制受影響的系統。

其中最嚴重的漏洞是 CVE-2025-61808、CVE-2025-61809 和 CVE-2025-61830（CVSS 評分為 9.1），分別被描述為不受限制的危險檔案上傳、不正確的輸入驗證和對不受信任的資料進行反序列化。這些缺陷是 RCE 攻擊的典型載體：

• 危險檔案上傳：允許攻擊者上傳惡意的 Web Shell 或可執行腳本到伺服器。

• 反序列化漏洞：攻擊者可以構造惡意數據，在應用程式嘗試「反序列化」時，觸發不可預期的程式碼執行。

CVSS 評分 9.1 屬於「嚴重」等級，表明攻擊的複雜度低，且影響結果極為嚴重，可能導致目標系統的機密性、完整性和可用性完全受損。

Experience Manager (AEM) 漏洞：壓倒性的 XSS 缺陷

本月，Experience Manager (AEM) 修復了 117 個漏洞，其中 116 個是跨站腳本 (XSS) 漏洞，包括兩個嚴重程度的漏洞，編號分別為 CVE-2025-64537 和 CVE-2025-64539（CVSS 評分為 9.3）。

AEM 是企業級的內容管理系統，廣泛應用於網站、數位資產和行銷活動管理。儘管 XSS 漏洞通常被視為中等風險，但在 AEM 這種高度集成的平台中，嚴重的 XSS 缺陷可能允許攻擊者竊取管理員會話憑證、篡改網站內容，甚至在訪客或內容編輯器的瀏覽器上執行惡意程式碼。其中兩個漏洞的 CVSS 評分高達 9.3，表明它們極易被利用，且對系統的衝擊極大。

剩餘的 114 個 XSS 問題均為中等嚴重程度的漏洞，此次更新還修復了一個嚴重程度較高的缺陷，該缺陷被描述為依賴一個易受攻擊的第三方元件。對第三方元件的依賴是現代軟體供應鏈風險的常見來源，它要求開發商不僅要維護自己的程式碼，還要持續監控其使用的外部庫的安全狀態。

其他產品的修復概況

週二，該公司還宣布修復了 DNG SDK 中的兩個高風險和兩個中危險安全漏洞，Acrobat 和 Reader 中的兩個高風險和兩個低風險問題，以及 macOS 版 Creative Cloud Desktop 中的一個中等嚴重程度的漏洞。

這些修復涵蓋了從 PDF 處理（Acrobat 和 Reader）到數位負片格式（DNG SDK）的各種產品，突顯了 Adobe 產品線在整個生態系統中面臨的廣泛安全挑戰。企業和個人用戶都應立即檢查其使用的所有 Adobe 軟體版本，並應用最新的安全補丁，以避免被這些高風險漏洞利用。