El 10 de junio de 2025, Adobe lanzó una actualización de seguridad bastante grande, corrigiendo nada menos que 254 fallas en varios de sus productos. Uno de los más destacados fue Adobe Experience Manager (AEM). La mayoría de estos problemas estaban relacionados con vulnerabilidades de cross-site scripting (XSS), un tipo de fallo que puede comprometer seriamente la seguridad de aplicaciones web empresariales, especialmente las que funcionan con Adobe Commerce o Magento. En pocas palabras, si usas estas plataformas, es clave que apliques esta actualización cuanto antes para mantener todo seguro.
Adobe lanzó una megactualización de seguridad en la que solucionó 254 vulnerabilidades, y lo más llamativo es que 225 de ellas afectaban directamente a Adobe Experience Manager (AEM), tanto en su versión en la nube (Cloud Service) como en versiones anteriores y posteriores a la 6.5.22. Las correcciones llegaron con la versión 6.5.23 y la 2025.5 de AEM Cloud Service.
¿El problema más común? Fallos de tipo XSS almacenado y basado en DOM. Dicho en simple: permitían que atacantes inyectaran scripts maliciosos en páginas web, lo que abría la puerta a que otros usuarios ejecutaran sin querer código peligroso. En el peor de los casos, eso podría significar que alguien más tome control del sistema, escale privilegios o se salte mecanismos de seguridad sin mucho esfuerzo.
Adobe fue directo al grano y advirtió que, si se explotaban estas fallas con éxito, el impacto podía ser bastante grave. Por suerte, ya están parchadas.
Detrás de estos descubrimientos están algunos nombres conocidos del mundo de la ciberseguridad, como Jim Green (green-jam), Akshay Sharma (anonymous_blackzero) y lpi, quienes reportaron los fallos de manera responsable y ayudaron a que Adobe pudiera corregirlos a tiempo.
Uno de los puntos más preocupantes del último boletín de seguridad de Adobe es una vulnerabilidad crítica identificada como CVE-2025-47110. ¿Qué tan grave es? Bastante: tiene una puntuación de 9,1 en el sistema CVSS, lo que la coloca en el rango de mayor riesgo. Se trata de un fallo de tipo XSS reflejado, que básicamente permite a atacantes ejecutar código malicioso de forma remota en tiendas en línea que funcionan con Adobe Commerce o Magento Open Source.
Pero no es la única: también se descubrió CVE-2025-43585, con una puntuación de 8,2, que corrige un problema de autorización mal gestionada. En términos simples, esta falla podría permitir que alguien se salte los controles de seguridad y acceda a datos o permisos sensibles.
Adobe Commerce: 2.4.8, 2.4.7-p5 y anteriores, 2.4.6-p10 y anteriores, 2.4.5-p12 y anteriores, 2.4.4-p13 y anteriores
Adobe Commerce B2B: 1.5.2 y anteriores, 1.4.2-p5 y anteriores, 1.3.5-p10 y anteriores
Magento Open Source: todas las versiones equivalentes a las anteriores
Estas plataformas son ampliamente utilizadas por empresas que gestionan ventas online a gran escala, así que el alcance de estas vulnerabilidades es enorme.
Aunque por ahora no se han detectado ataques activos aprovechando estos fallos, Adobe deja claro que es crucial instalar los parches lo antes posible para evitar sorpresas desagradables. Si tu tienda depende de alguno de estos sistemas, es momento de actualizar (y no dejarlo para más tarde).
Conoce más sobre: ¿Qué incluye Adobe Creative Cloud y por qué deberías usarlo?
Además de los productos más conocidos, Adobe también aprovechó esta gran actualización para arreglar cuatro vulnerabilidades relacionadas con ejecución remota de código en aplicaciones menos "famosas", pero igual de importantes dentro del flujo creativo:
Adobe InCopy: CVE-2025-30327 y CVE-2025-47107, ambas con una puntuación de 7.8 en el CVSS.
Substance 3D Sampler: CVE-2025-43581 y CVE-2025-43588, también con una puntuación de 7.8.
Aunque estas apps no forman parte del núcleo crítico de las infraestructuras empresariales, siguen siendo utilizadas por muchos equipos creativos. Y como los flujos de trabajo colaborativos suelen estar interconectados, cualquier puerta abierta puede ser aprovechada por atacantes si no se cierra a tiempo.
Con más de 200 vulnerabilidades XSS solo en AEM, lo que queda claro es que existe un problema estructural serio en muchas de las soluciones digitales que empresas y marcas usan día a día para marketing, contenido y comercio online.
Y si a eso le sumamos las fallas que permiten ejecutar código remotamente en herramientas de colaboración y diseño, queda aún más claro que la ciberseguridad ya no es solo cosa del equipo de TI: es una responsabilidad compartida por toda la organización.
Podría interesarte leer: Gestión de Parches: ¿Por qué es esencial en la seguridad informática?
Actualiza sin pensarlo dos veces: cuanto antes apliques los parches, menos tiempo estarás en riesgo.
Implementa ciclos de actualización más rápidos: nada de esperar semanas o meses para instalar lo nuevo.
Monitorea vulnerabilidades constantemente: hay herramientas que pueden ayudarte a detectar problemas antes de que se conviertan en amenazas reales.
Refuerza la configuración por defecto: muchas instalaciones se dejan con opciones poco seguras activadas. Ajustar eso puede marcar la diferencia.
Adobe hizo lo correcto: reaccionó rápido y tapó agujeros peligrosos. Pero lo que realmente llama la atención es la cantidad de fallos encontrados. Eso nos dice mucho sobre lo complejos y, a veces, frágiles que se están volviendo nuestros ecosistemas digitales.
Así que si tu empresa depende de Adobe, lo mejor que puedes hacer ahora mismo es aplicar todas las actualizaciones disponibles, revisar tus configuraciones y pensar en ciberseguridad como una prioridad continua, no como una tarea ocasional.