Adobe выпустила обновления безопасности для системы управления цифровым контентом Adobe Experience Manager (AEM). Пакет исправлений APSB26-74 устраняет 19 уязвимостей, среди которых несколько критических, способных привести к выполнению произвольного кода, обходу механизмов безопасности, чтению файловой системы и повышению привилегий. По заявлению компании, сведений об эксплуатации этих брешей в реальных атаках на момент публикации не поступало.
Детали уязвимостей
Наиболее опасными стали две уязвимости класса Server-Side Request Forgery (подделка запроса со стороны сервера) и Improper Restriction of XML External Entity Reference (ошибка обработки внешних XML-сущностей), получившие максимальные оценки CVSS 9,6. Уязвимость CVE-2026-48259 позволяет злоумышленнику с низким уровнем привилегий инициировать запросы от имени сервера и выполнить произвольный код. Вторая, CVE-2026-48359, даёт аналогичную возможность через манипуляции с XML-данными, при этом для эксплуатации не требуется взаимодействие пользователя. В обоих случаях атакующий получает полный контроль над конфиденциальностью и целостностью системы.
Следующими по степени опасности идут две критические уязвимости с баллом 8,6. Первая, CVE-2026-48252, связана с отсутствием аутентификации на критической функции. Это позволяет неавторизованному удалённому злоумышленнику выполнять операции записи в системе без какого-либо взаимодействия с пользователем, что ведёт к обходу защитных механизмов. Вторая, CVE-2026-48310, представляет собой обход пути (Path Traversal) - она даёт возможность чтения произвольных файлов за пределами допустимого каталога, также без участия пользователя. Подобная утечка может раскрыть конфиденциальные данные, включая конфигурационные файлы и ключи доступа.
Помимо критических брешей, в обновлении закрыто двенадцать уязвимостей класса Cross-Site Scripting (межсайтовый скриптинг) с оценкой важности. Среди них как хранимые (Stored XSS), так и DOM-ориентированные (DOM-based XSS). В случае эксплуатации злоумышленник, уже имеющий низкие привилегии, мог бы внедрить вредоносный JavaScript-код, который выполнялся бы в браузере другого пользователя. Последствия включают перехват сессий, кражу данных и совершение несанкционированных действий от имени жертвы. Одна из таких уязвимостей (CVE-2026-48262) классифицирована как способная привести к повышению привилегий.
Отдельно в бюллетене указаны несколько CVE прошлых лет, которые также исправляются в данном пакете: CVE-2023-25690 (оценка 9,8), три уязвимости CVE-2025-64537, CVE-2025-64538, CVE-2025-64539 (каждая с баллом 9,3). Подробности о них не раскрываются, но включение в актуальное обновление говорит о том, что исправления были перенесены в AEM для унификации кодовой базы.
Обновление затрагивает все основные линии продукта: Adobe Experience Manager as a Cloud Service (версии до 2026.5.0), AEM 6.5 LTS Service Pack 2 и более ранние, а также AEM 6.5 Service Pack 25 и предыдущие. Пользователям облачной версии необходимо обновиться до релиза 2026.6.0. Для локальных инсталляций выпущены горячие исправления: для AEM 6.5 LTS - hotfix для Service Pack 2 (идентификатор NPR-43972), для AEM 6.5 - hotfix для Service Pack 25 (NPR-43971). Компания присвоила этим обновлениям приоритет 3, что соответствует категории "важные" и предполагает установку в штатном порядке.
Исследователи, обнаружившие уязвимости, указаны в благодарностях: пользователь под псевдонимом green-jam сообщил о семи XSS-брешах, а команда Assetnote в составе Дилана Пиндура, Адама Кюса и Патрика Гробсхойзера - о критических SSRF, XXE, отсутствии аутентификации и обходе пути. Это не первый случай, когда Assetnote находит серьёзные проблемы в AEM: ранее специалисты этой компании уже выявляли в продукте ошибки, позволяющие удалённо исполнять код.
Хотя Adobe не зафиксировала случаев активной эксплуатации перечисленных уязвимостей, их критичность и широта охвата (от кражи файлов до полного захвата сервера) делают установку патчей обязательной для всех организаций, использующих AEM. Системы управления контентом часто оказываются привлекательной целью для злоумышленников, поскольку содержат большие объёмы данных и имеют сложную архитектуру. Выпуск столь масштабного набора исправлений свидетельствует о продолжающейся работе Adobe над безопасностью платформы и о необходимости регулярного применения обновлений для минимизации рисков.
Ссылки