Kritikus sebezhetőségek részletei
Az első, CVE-2025-54253 kódnevű rés kezdetben azért maradt nyitva, mert egy adminfelület fejlesztői módja tévedésből aktív maradt, így egy egyszerű hibás beállítás, illetve a megkerülhető hitelesítésen keresztül támadható lett a rendszer. A második, CVE-2025-54254-es XXE hiba miatt ismeretlen XML-fájlokon keresztül bárki elolvashat tetszőleges helyi fájlokat – például a win.ini-t – mindenféle azonosítás nélkül.
Ami késik, az nehezebb lesz
Bár a kutatók áprilisban adták át a hibákat az Adobe-nak, egy harmadik – Java deszerializációs – hibát (CVE-2025-49533) már augusztus elején javítottak, a másik két kritikus sérülékenységet azonban csak most zárták be, közel 100 napos késéssel. A frissítések telepítése létfontosságú, de ha ez nem megoldható, az internetes elérést is le kell tiltani, hogy a támadók ne férhessenek hozzá a rendszerhez.
