Last Updated on 2025-06-11 08:32 by admin
Adobeは2025年6月10日(火曜日)、同社のソフトウェア製品に影響する合計254件のセキュリティ脆弱性を修正するセキュリティアップデートを公開した。
254件の脆弱性のうち225件がAdobe Experience Manager(AEM)に存在し、AEM Cloud Serviceおよびバージョン6.5.22以前のすべてのバージョンが影響を受ける。
これらの問題はAEM Cloud Service Release 2025.5およびバージョン6.5.23で解決された。225件の脆弱性のほぼすべてがクロスサイトスクリプティング(XSS)脆弱性で、格納型XSSとDOM型XSSの組み合わせである。
最も深刻な脆弱性はAdobe CommerceおよびMagento Open Sourceのコード実行脆弱性CVE-2025-47110(CVSSスコア9.1)である。
その他、Adobe InCopyで2件(CVE-2025-30327、CVE-2025-47107)、Substance 3D Samplerで2件(CVE-2025-43581、CVE-2025-43588)のコード実行脆弱性が修正された。
現在のところ、これらの脆弱性が悪用された事例は確認されていない。
From: 
Adobe Releases Patch Fixing 254 Vulnerabilities, Closing High-Severity Security Gaps
【編集部解説】
今回のAdobeによる254件という大規模なセキュリティアップデートは、同社製品の継続的なセキュリティ課題を浮き彫りにしています。2025年2月にもAdobe CommerceとMagento Open Sourceで31件の脆弱性が修正されており、今回の大規模修正は決して突発的な事象ではありません。
特に注目すべきは、Experience Manager(AEM)だけで225件もの脆弱性が発見された点です。AEMは企業のデジタルエクスペリエンス基盤として広く採用されており、これらの脆弱性が悪用されれば、企業の機密情報や顧客データが危険にさらされる可能性があります。
これらの脆弱性の大部分がクロスサイトスクリプティング(XSS)であることは、現代のWebアプリケーション開発における根深い問題を示しています。XSS攻撃は一見軽微に見えますが、実際には任意のコード実行につながり、システムの完全な制御権を奪取される可能性があります。
Adobe CommerceとMagento Open Sourceで発見されたCVE-2025-47110(CVSSスコア9.1)は、過去の同様事例と比較しても極めて深刻です。2024年6月のCVE-2024-34102(CVSSスコア9.8)に匹敵する高い危険度を持ち、ECサイト運営者にとって緊急対応が必要な脆弱性といえます。
今回の修正で評価すべきは、Adobeが「野外での悪用事例は確認されていない」と明言している点です。これは同社の脆弱性発見・対応体制が機能していることを示しており、セキュリティ研究者との協力関係が成果を上げていることがうかがえます。
しかし、254件という数字は、複雑化するソフトウェア開発において品質管理の難しさを物語っています。特にAEMのような大規模なエンタープライズソフトウェアでは、機能追加のスピードとセキュリティ確保のバランスが継続的な課題となっており、より厳格な開発プロセスの見直しが急務です。
長期的な視点では、この事例は企業のセキュリティ投資の重要性を再認識させるものです。定期的なセキュリティアップデートの適用はもちろん、脆弱性スキャンやペネトレーションテストといった予防的措置の価値が改めて証明されたといえるでしょう。
【用語解説】
XSS(クロスサイトスクリプティング)
Webアプリケーションの脆弱性の一種で、攻撃者が悪意のあるスクリプトを他のユーザーのブラウザで実行させる攻撃手法である。格納型XSSはサーバーに保存されたスクリプトが実行され、DOM型XSSはブラウザ側で動的に生成されるコンテンツを悪用する。
CVSS(Common Vulnerability Scoring System)
脆弱性の深刻度を数値化して評価する国際標準システムである。0.0から10.0までのスコアで表され、9.0以上は「クリティカル」、7.0-8.9は「高」、4.0-6.9は「中」、0.1-3.9は「低」として分類される。
権限昇格
通常のユーザー権限から管理者権限など、より高い権限レベルに不正に昇格する攻撃手法である。システムの重要な機能やデータにアクセスできるようになる。
反射型XSS
ユーザーの入力がそのままWebページに反映される際に発生するXSS攻撃の一種。攻撃者が細工したURLをユーザーにクリックさせることで悪意のあるスクリプトを実行させる。
【参考リンク】
Adobe公式サイト(外部)
Creative Cloud、Document Cloud、Experience Cloudの3つのクラウドサービスを提供するデジタルエクスペリエンス分野のリーディングカンパニー
Adobe Experience Manager(外部)
ウェブサイトやモバイルアプリ、デジタルコンテンツの制作・管理・配信を効率化するコンテンツ管理システム
Adobe Commerce(旧Magento)(外部)
B2BおよびB2C向けのエンタープライズeコマースソリューション。グローバルでマルチブランドの商取引体験を提供
Magento Open Source(外部)
オープンソースのeコマースプラットフォーム。PHP基盤で構築され、Open Software License 3.0の下で配布
Adobe Substance 3D Sampler(外部)
写真撮影や3Dスキャンから3Dテクスチャやマテリアルアセットを作成するフォトグラメトリソフトウェア
Adobe セキュリティ速報(外部)
Adobe製品のセキュリティ脆弱性情報と対策方法を提供する公式ページ。APSB形式で定期的に公開
【参考動画】
Adobe公式チャンネルによるAEM Cloud Service 2025.01リリースのハイライト紹介動画。コンテンツフラグメントコメント機能やDynamic Mediaテンプレートなどの新機能を解説している。
Adobe Substance 3D公式チャンネルによるSubstance 3D Samplerの入門チュートリアル。画像から3DのPBRマテリアルを作成する基本的な手順を詳しく説明している。
【参考記事】
Security updates available for Adobe Experience Manager | APSB25-48(外部)
Adobe公式のセキュリティ勧告。Experience Managerの225件の脆弱性修正について技術的詳細と対処方法を記載
Adobe Commerce に関するセキュリティアップデート公開 | APSB25-08(外部)
2025年2月に公開されたAdobe CommerceとMagento Open Sourceの31件の脆弱性修正に関する公式セキュリティ勧告
CVE-2025-47110 – Exploits & Severity – Feedly(外部)
Adobe CommerceとMagento Open Sourceの最も深刻な脆弱性CVE-2025-47110に関する詳細分析
【編集部後記】
今回のAdobeの大規模セキュリティアップデートをご覧になって、皆さんの組織ではどのようなセキュリティ対策を実施されていますか?特にAdobe製品を業務で活用されている方は、定期的なアップデート適用のプロセスが確立されているでしょうか。
2025年に入ってからAdobe製品では継続的にセキュリティ問題が発見されており、これを機に改めて自社のセキュリティ体制を見直してみませんか?皆さんの経験や取り組みについて、ぜひお聞かせください。
サイバーセキュリティニュースをinnovaTopiaでもっと読む
