Actualizaciones Críticas de Adobe (Julio 2025)
Resumen de Vulnerabilidades
Adobe ha abordado 13 productos con vulnerabilidades de riesgo medio en su actualización mensual de julio. Estas fallas permiten:
- Ejecución remota de código (RCE) en aplicaciones como Illustrator, InDesign y ColdFusion.
- Divulgación de información confidencial (ej. Substance 3D Viewer).
- Denegación de servicio (DoS) y bypass de restricciones de seguridad.
La gravedad general se evalúa como "Riesgo Medio", con CVEs críticos como CVE-2025-47097 (CVSS 7.8) que permiten RCE al abrir archivos maliciosos .
📋 Productos Afectados y Versiones Seguras
(Actualizar urgentemente si usa versiones anteriores a las indicadas)
| Producto | Versiones Vulnerables | Versión Parcheada |
|---|---|---|
| Adobe ColdFusion | 2025 Update 2, 2023 Update 14, 2021 Update 20 | 2025 Update 3, 2023 Update 15, 2021 Update 21 |
| Adobe FrameMaker | 2020 Release Update 8, 2022 Release Update 6 | 2020 Release Update 9, 2022 Release Update 7 |
| Adobe Illustrator | 2024 (≤28.7.6), 2025 (≤29.5.1) | 2024 (≥28.7.8), 2025 (≥29.6) |
| Adobe InDesign/InCopy | ID20.3/19.5.3, IC20.3/19.5.3 | ID20.4/19.5.4, IC20.4/19.5.4 |
| Adobe After Effects | 24.6.6, 25.2 | 24.6.7, 25.3 |
| Adobe Substance 3D Viewer | ≤0.22 | ≥0.25 |
| Adobe Connect | ≤24 (Windows App) | ≥25.1 |
| Lista completa: Adobe Security Bulletin . |
🔥 Vulnerabilidades Críticas
- CVE-2025-47097 (CVSS 7.8):
- Producto: Adobe InCopy.
- Riesgo: Integer Underflow → Ejecución remota de código al abrir archivos manipulados .
- CVE-2025-43594 (CVSS 7.8):
- Producto: Adobe InDesign.
- Riesgo: Out-of-Bounds Write → Permite RCE en el contexto del usuario actual .
- CVE-2025-43582 (CVSS 7.8):
- Producto: Substance 3D Viewer.
- Riesgo: Heap Buffer Overflow → Ejecución de código arbitrario .
🛡️ Acciones Requeridas
- Actualización inmediata:
- Usuarios individuales: Ejecute Creative Cloud Desktop → "Actualizaciones".
- Empresas: Despliegue parches mediante Adobe Admin Console .
- Enlaces directos:
- Mitigaciones temporales:
- ❌ Evite abrir archivos de fuentes no confiables (especialmente en InDesign, InCopy y Substance 3D).
- ✅ Habilite "Protección en tiempo real" en Microsoft Defender para detectar exploits.
- 🔐 Aísle aplicaciones críticas usando Windows Sandbox o contenedores.
- Verificación post-actualización:
- En cada producto, acceda a Ayuda > Acerca de... y confirme que la versión coincida con la tabla anterior.
⚙️ Impacto Técnico Detallado
- ColdFusion: 12 vulnerabilidades parcheadas, incluyendo bypass de seguridad (CVE-2025-49536) y ejecución de código vía XSS (CVE-2025-49540) .
- FrameMaker: 15 fallos de memoria (buffer overflows, dereferenciación de NULL) que permiten RCE .
- Illustrator/InDesign: Corrupción de memoria al procesar archivos PDF/INDD maliciosos.
📚 Recursos Adicionales
- Resumen NIST de CVEs críticos
- Portal de Seguridad de Adobe .
- Soporte empresarial: Contacte a Adobe PSIRT para reportar nuevas vulnerabilidades .
🚨 Importante: Estas vulnerabilidades están activamente explotadas en entornos no parcheados. La actualización es obligatoria para prevenir brechas de datos o ataques ransomware.