本周二（6月11日）Adobe针对旗下10款产品发布更新，总共修补166个漏洞，其中，大部分与内容管理平台Experience Manager（AEM）有关，而这次他们对电商网站平台Adobe Commerce及Magento Open Source发布的资安公告，重大层级漏洞的数量最多，也相当值得留意。

该公司本次针对AEM公布144个漏洞，影响AEM Cloud Service，以及自行管理的6.5.20以前版本，大部分漏洞为跨网站脚本（XSS）漏洞，而有可能被用来运行任意代码。其中，最为严重的是安全功能绕过漏洞CVE-2024-26029，这项漏洞发生的原因为不适当的存取控制，CVSS风险评为7.5，被Adobe列为重大层级。

这次Adobe公布最多重大层级漏洞的应用系统，是电商网站平台Adobe Commerce及Magento Open Source，他们总共修补了10个漏洞，其中有7个为重大层级。这些漏洞影响2.4.7版以下的Adobe Commerce、Magento Open Source，以及1.2.0至1.4.0版的Adobe Commerce Webhooks插件程序。

在这些重大层级的电商网站平台漏洞当中，主要与服务器伪造请求（SSRF）、XML外部实体参照的限制不当、身分验证不当、输入验证不当，以及未限制危险类型的文件上传，而有可能被用于运行任意代码、提升权限，或是绕过安全防护功能，CVSS风险评分介于8.5至8.0。

除了上述两种网站系统的漏洞，Adobe也针对旗下的XML文档处理软件FrameMaker，揭露与修补两个漏洞，分别是：CVE-2024-30299、CVE-2024-30300，皆属于服务器权限提升类型的弱点，这两个漏洞CVSS风险评为10分、9.8分，是本次最为危险的漏洞。