日頃の脆弱性情報収集で、一部企業がまとめて公開する複数の脆弱性を良い感じにまとめたい。 MicrosoftとかAppleとかAdobeとかSAPとかFortinetとか。HPとかDellとかIBMは頻度が多いのでいったん除外。 試しにChatGPTに頼んでみた結果を残しておく。今回はAdobe。

2025年10月｜Adobe Product Security Updates

概要

2025年10月14日付のAdobe月例セキュリティ更新では、Adobe Commerce（Magento）を含む複数製品に重要〜重大な脆弱性が報告されました。特に高い CVSS スコア（例：9.3 など）や「Critical / Important」として扱われる CVE が複数含まれており、Priority が高めに割り当てられている製品（商用 EC プラットフォームなど）は優先的な Patch 適用が推奨されます。

対象製品（Priority ごと）

Priority 2

• Adobe Commerce / Magento Open Source（APSB25-94）

Priority 3

• Adobe Connect（APSB25-70）
• Creative Cloud Desktop Application（APSB25-95）
• Adobe Bridge（APSB25-96）
• Adobe Animate（APSB25-97）
• Adobe Experience Manager Screens（APSB25-98）
• Adobe Substance 3D Viewer（APSB25-99）
• Adobe Substance 3D Modeler（APSB25-100）
• Adobe FrameMaker（APSB25-101）
• Adobe Illustrator（APSB25-102）
• Adobe Dimension（APSB25-103）
• Adobe Substance 3D Stager（APSB25-104）

注目の脆弱性

以下は、Priority が高いもの、CVSS が高いもの、また日本の企業で導入可能性がある製品に関係するものを中心に選定した CVE 例です。

CVE-2025-49553：Adobe Connect における DOM-based XSS → 任意コード実行

CVSS v3.1: 9.3（出典：Adobe APSB25-70 に記載の CVSS ベクタ）

DOM ベースの XSS 脆弱性により、特定の入力・パラメータ処理を通じて悪意あるスクリプトがブラウザ上で実行される可能性があります。Adobe 側はこの脆弱性を「Arbitrary code execution」と位置付けており、セッション乗っ取りや不正権限取得などのリスクがあります。Connect を公開環境で運用している場合は優先して更新を適用すべきです。

CVE-2025-54263：Adobe Commerce（Magento）における Improper Access Control（Security feature bypass）

CVSS v3.1: 8.8（出典：Adobe APSB25-94 に記載の CVSS ベクタ）

アクセス制御の不備により、本来制限される操作や機能に対して不正アクセスが可能となる脆弱性です。EC プラットフォームであるため、顧客データ、注文処理、管理操作など重要な処理への悪用が懸念されます。複数の関連 CVE がこの Bulletin に列挙されており、速やかなパッチ適用が強く推奨されます。

CVE-2025-54273：Adobe Substance 3D Viewer における Out-of-bounds Write（任意コード実行）

CVSS v3.1: 7.8（出典：Adobe APSB25-99 に記載の CVSS ベクタ）

ファイルパーサやレンダリング機能における境界外書き込みに起因する任意コード実行の脆弱性です。悪意のあるファイルを読み込んだ場に発動するケースが典型的で、業務用途で 3D 表示／編集機能を使用している環境ではリスクが顕在化します。管理者は当該更新を適用し、信頼できないファイル取り扱いの制限や検査を併用すべきです。

CVE-2025-54283：Adobe Illustrator における Out-of-bounds Write（任意コード実行）

CVSS v3.1: 7.8（出典：Adobe APSB25-102 に記載の CVSS ベクタ）

Illustrator におけるファイル処理での境界外書き込み脆弱性で、悪意のあるファイルの読み込みを通じて任意コード実行が可能となるおそれがあります。一般的なデザイン用途で広く使われているソフトウェアであることから、業務環境での影響度も無視できません。最新版への更新とともに、受信ファイルの制限やサンドボックス処理を検討すべきです。

参考情報

• Adobe PSIRT — Latest Product Security Updates
  • https://helpx.adobe.com/security.html
• APSB25-70: Security update available for Adobe Connect
  • https://helpx.adobe.com/security/products/connect/apsb25-70.html
• APSB25-94: Security update available for Adobe Commerce / Magento
  • https://helpx.adobe.com/security/products/magento/apsb25-88.html(同系列アップデート参照)
• APSB25-95: Security update available for Creative Cloud Desktop Application
  • https://helpx.adobe.com/security/products/creative-cloud/apsb25-95.html
• APSB25-96: Security update available for Adobe Bridge
  • https://helpx.adobe.com/security/products/bridge/apsb25-96.html
• APSB25-97: Security update available for Adobe Animate
  • https://helpx.adobe.com/security/products/animate/apsb25-97.html(もしくはAPSB25-73 を参照)
• APSB25-98: Security update available for Adobe Experience Manager Screens
  • https://helpx.adobe.com/security/products/aem-screens/apsb25-98.html
• APSB25-99: Security update available for Adobe Substance 3D Viewer
  • https://helpx.adobe.com/security/products/substance3d-viewer/apsb25-99.html
• APSB25-100: Security update available for Adobe Substance 3D Modeler
  • https://helpx.adobe.com/security/products/substance3d-modeler/apsb25-100.html
• APSB25-101: Security update available for Adobe FrameMaker
  • https://helpx.adobe.com/security/products/framemaker/apsb25-101.html
• APSB25-102: Security update available for Adobe Illustrator
  • https://helpx.adobe.com/security/products/illustrator/apsb25-102.html
• APSB25-103: Security update available for Adobe Dimension
  • https://helpx.adobe.com/security/products/dimension/apsb25-103.html
• APSB25-104: Security update available for Adobe Substance 3D Stager
  • https://helpx.adobe.com/security/products/substance3d_stager/apsb25-104.html
• National Vulnerability Database（NVD）
  • https://nvd.nist.gov/