Adobe, uno de los gigantes mundiales del software creativo y empresarial, ha publicado esta semana una serie de actualizaciones de seguridad urgentes destinadas a resolver más de 35 vulnerabilidades críticas que afectan a algunos de sus productos más populares. La compañía advierte de que, aunque no existen pruebas de explotación activa, el potencial de estos fallos para comprometer sistemas es elevado.

Las actualizaciones, lanzadas el 14 de octubre, corrigen fallos en Adobe Connect, Adobe Commerce, Magento Open Source, Creative Cloud Desktop, Bridge, Animate, Illustrator, Dimension, FrameMaker y las herramientas Substance 3D. En conjunto, el boletín de seguridad de este mes representa uno de los despliegues de parches más amplios de la compañía en lo que va de año.

Conectividad bajo amenaza: dos fallos críticos en Adobe Connect

La atención principal de este ciclo de parches se centra en Adobe Connect, la plataforma de videoconferencias corporativas y educación virtual utilizada por miles de organizaciones.

Ad

Según el aviso técnico de la compañía, se han solucionado tres vulnerabilidades distintas, entre ellas dos fallos críticos de tipo cross-site scripting (XSS) que podrían permitir la ejecución arbitraria de código en los sistemas de los usuarios afectados:

  • CVE-2025-49553: Vulnerabilidad DOM-based XSS crítica (CVSS 9.3)

  • CVE-2025-49552: XSS DOM-based crítica (CVSS 7.3)

  • CVE-2025-54196: Redirección abierta (open redirect) de gravedad moderada

Estos fallos, descubiertos por el investigador Laish (a_l), se han corregido en la versión 12.10 de Adobe Connect para Windows y macOS. Aunque no se tiene constancia de que hayan sido explotados, Adobe recomienda aplicar la actualización de forma inmediata, ya que un atacante podría aprovecharlos para ejecutar código malicioso en el navegador o robar credenciales de sesión.

“Recomendamos a todos los clientes implementar estas actualizaciones cuanto antes”, señala el comunicado oficial de la empresa.

Comercio electrónico en el punto de mira: vulnerabilidades en Adobe Commerce y Magento

La segunda área de preocupación se centra en las plataformas de Adobe Commerce y Magento Open Source, ampliamente utilizadas por comercios electrónicos y empresas medianas. En total, se han solucionado cinco vulnerabilidades de alto riesgo bajo el boletín APSB25-94, entre las que destacan fallos de control de acceso y XSS almacenado.

  • CVE-2025-54263: Improper Access Control – Crítica

  • CVE-2025-54264 y CVE-2025-54266: Stored XSS – Crítica/Importante

  • CVE-2025-54265 y CVE-2025-54267: Incorrect Authorization – Importante

Los sistemas afectados incluyen Commerce y Magento Open Source entre las versiones 2.4.4 y 2.4.9, así como Commerce B2B de la 1.3.3 a la 1.5.3.

Estos fallos, de ser explotados, podrían permitir a un atacante elevar privilegios, manipular datos de clientes o evadir controles de autenticación en tiendas online. Dada la alta exposición pública de estas plataformas, Adobe ha clasificado la actualización con prioridad 2, lo que indica una mayor probabilidad de explotación real en comparación con otros productos.

Las vulnerabilidades de Commerce y Magento son especialmente sensibles: un ataque exitoso podría tener un impacto directo en operaciones de venta, facturación o en la fuga de información personal de clientes.

Las aplicaciones creativas también se blindan

No solo las soluciones empresariales se han visto afectadas. Adobe ha lanzado también parches para la suite Creative Cloud, resolviendo errores críticos en herramientas ampliamente utilizadas por diseñadores, animadores y estudios creativos.

Las aplicaciones actualizadas incluyen:

  • Substance 3D Stager

  • Substance 3D Modeler

  • Substance 3D Viewer

  • Dimension

  • Illustrator

  • FrameMaker

  • Bridge

  • Animate

La mayoría de los fallos corregidos corresponden a vulnerabilidades de tipo “use-after-free”, desbordamiento de búfer, lectura/escritura fuera de límites (out-of-bounds) e integer overflows, todas ellas capaces de provocar ejecución remota de código (RCE) o bloqueos del sistema.

En el caso concreto de Adobe Animate, se solucionaron cuatro vulnerabilidades relevantes:

  • CVE-2025-54279: Use After Free (crítica)

  • CVE-2025-61804: Buffer Overflow (crítica)

  • CVE-2025-54269: Out-of-bounds Read (importante)

  • CVE-2025-54270: NULL Pointer Dereference (importante)

Estas mejoras se distribuyen con las versiones Animate 2023 (v23.0.15) y Animate 2024 (v24.0.12), disponibles desde el Creative Cloud Desktop App o la Adobe Admin Console para entornos empresariales.

MLuz Domínguez
MLuz Domínguez
Periodista especializada en ciberseguridad y tecnología. Mi enfoque se centra en analizar mundo de las aplicaciones y la seguridad especialmente en redes sociales. Con un interés constante en informar sobre avances, riesgos y sin olvidar la importancia de la prevención, busco compartir información precisa y comprensible para el usuario.

Artículos relacionadosMás del autor

Deja un comentario

Por favor, introduce tu comentario
Por favor, introduce tu nombre