Adobe lançou correções para 139 vulnerabilidades em dezembro de 2025, com foco crítico em ColdFusion (12 falhas, várias de RCE) e Experience Manager (117 falhas, sendo 116 XSS), todas com atualização classificada como prioridade 1 para aplicação imediata.
ColdFusion: 12 falhas, 3 críticas
ColdFusion 2025, 2023 e 2021 receberam patches que corrigem 12 vulnerabilidades, a maioria passível de exploração para execução arbitrária de código. As mais graves são:
- CVE-2025-61808 (CWE‑434): upload irrestrito de arquivo perigoso, permitindo que um atacante envie arquivos maliciosos e obtenha RCE (CVSS 9,1).
- CVE-2025-61809: falha de validação de input que também pode resultar em execução de código.
- CVE-2025-61830: desserialização de dados não confiáveis, outro vetor clássico de RCE.
As correções estão em ColdFusion 2025 update 5, ColdFusion 2023 update 7 e ColdFusion 2021 update 23, que tratam todas as 12 falhas em um único ciclo de atualização.
Experience Manager (AEM): 117 vulnerabilidades
No AEM, o update de dezembro resolve 117 vulnerabilidades, das quais 116 são falhas de cross‑site scripting (XSS) — duas marcadas como críticas (CVE‑2025‑64537 e CVE‑2025‑64539, CVSS 9,3) e 114 de severidade média. Há ainda uma vulnerabilidade de alta severidade relacionada à dependência de um componente de terceiros vulnerável.
Todas são corrigidas em AEM Cloud Service release 2025.12 e nas versões on‑prem AEM 6.5 LTS SP1 (hotfix GRANITE‑61551) e AEM 6.5.24. As múltiplas XSS podem permitir injeção de JavaScript em formulários e páginas, levando a roubo de sessão, desfiguração de conteúdo ou pivotagem para outras aplicações integradas.
Outras correções em produtos Adobe
Além de ColdFusion e AEM, a Adobe também publicou:
- Patches para DNG SDK corrigindo duas falhas de alta e duas de severidade média.
- Atualizações para Acrobat e Reader que tratam duas vulnerabilidades de alta e duas de baixa severidade.
- Uma correção de severidade média no Creative Cloud Desktop para macOS.
A empresa afirma não ter evidência de exploração ativa de nenhuma das vulnerabilidades, mas o volume e a criticidade das falhas em ColdFusion e AEM motivaram a classificação de prioridade “1”, indicando que administradores devem aplicar os updates o mais rápido possível.






