Bulletin-ID
Zuletzt aktualisiert am
21. Jänner 2026
Sicherheitsupdates für Adobe ColdFusion verfügbar | APSB26-12
|
|
Veröffentlichungsdatum |
Priorität |
|
APSB26-12 |
13. Januar, 2026 |
1 |
Zusammenfassung
Adobe hat Sicherheitsupdates für ColdFusion Versionen 2025 und 2023 veröffentlicht. Diese Abhängigkeitsaktualisierung behebt eine kritische Sicherheitslücke, die zur Ausführung von beliebigem Code führen könnte.
Betroffene Versionen
|
Produkt |
Updatenummer |
Plattform |
|
ColdFusion 2025 |
Update 5 und ältere Versionen |
Alle |
|
ColdFusion 2023 |
Update 17 und frühere Versionen |
Alle |
Lösung
Adobe stuft die Priorität dieser Updates wie nachstehend ein und empfiehlt die Installation allen Anwendern:
|
Produkt |
Aktualisierte Version |
Plattform |
Priorität |
Verfügbarkeit |
|---|---|---|---|---|
|
ColdFusion 2025 |
Update 6 |
Alle |
1 |
|
|
ColdFusion 2023 |
Update 18 |
Alle |
1 |
Hinweis:
Aus Sicherheitsgründen wird dringend empfohlen, den neuesten MySQL-Java-Connector zu verwenden. Weitere Informationen zur Verwendung finden Sie unter: https://helpx.adobe.com/de/coldfusion/kb/coldfusion-configuring-mysql-jdbc.html
Weitere Informationen zum Schutz vor unsicheren Deserialisierungsangriffen finden Sie in der aktualisierten Dokumentation zum Serienfilter: https://helpx.adobe.com/de/coldfusion/kb/coldfusion-serialfilter-file.html
Update zu Abhängigkeiten
|
CVE-Nummer |
Abhängigkeit |
Sicherheitslückenauswirkung |
Betroffene Versionen |
|
CVE-2025-66516 |
Apache Tika |
Willkürliche Codeausführung |
Update 5 und früher Update 17 und früher |
Weitere Informationen finden Sie unter: https://lists.apache.org/thread/s5x3k93nhbkqzztp1olxotoyjpdlps9k
Danksagung:
Adobe bedankt sich bei den folgenden Forschern für das Melden dieser Schwachstellen und für die Zusammenarbeit mit Adobe zum Schutz der Sicherheit unserer Kunden.
- Brian Reilly (reillyb) -- CVE-2025-61808, CVE-2025-61809
- Nhien Pham (nhienit2010) -- CVE-2025-61812, CVE-2025-61822, CVE-2025-61823
- nbxiglk -- CVE-2025-61810, CVE-2025-61811, CVE-2025-61813, CVE-2025-61821, CVE-2025-61830
- Karol Mazurek (cr1m5on) -- CVE-2025-64897
- bytehacker_sg -- CVE-2025-64898
HINWEIS: Adobe hat ein öffentliches Bug-Bounty-Programm mit HackerOne. Wenn Sie an einer Zusammenarbeit mit Adobe als externer Sicherheitsforscher interessiert sind, informieren Sie sich bitte hier: https://hackerone.com/adobe
Hinweis:
Adobe empfiehlt, als Sicherheitsmaßnahmen Ihre ColdFusion JDK/JRE LTS-Version auf die neueste Update-Version zu aktualisieren. Die Download-Seite für ColdFusion wird regelmäßig aktualisiert, um die neuesten Java-Installationsprogramme für die von Ihrer Installation unterstützte JDK-Version gemäß den nachstehenden Matrizen einzubeziehen.
Anweisungen zur Verwendung eines externen JDK finden Sie unter ColdFusion JVM ändern.
Adobe empfiehlt zudem, die Sicherheitskonfigurationseinstellungen zu verwenden, die in der ColdFusion-Dokumentation enthalten sind, und die Informationen in den jeweiligen Lockdown Guides beachten.
ColdFusion JDK-Anforderung
COLDFUSION 2025 (Version 2023.0.0.331385) und höher
For Application Servers
On JEE installations, set the following JVM flag, “-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**; !com.mysql.cj.jdbc.interceptors.**;!org.apache.commons.collections.**; " in der entsprechenden Startdatei, je nach Art des verwendeten Anwendungsservers.
Beispiel:
Apache Tomcat Application Server: edit JAVA_OPTS in the ‘Catalina.bat/sh’ file
WebLogic Application Server: edit JAVA_OPTIONS in the ‘startWeblogic.cmd’ file
WildFly/EAP Application Server: edit JAVA_OPTS in the ‘standalone.conf’ file
Setzen Sie die JVM-Flags auf einer JEE-Installation von ColdFusion, nicht auf einer eigenständigen Installation.
COLDFUSION 2023 (version 2023.0.0.330468) and above
For Application Servers
On JEE installations, set the following JVM flag, “-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**; !com.mysql.cj.jdbc.interceptors.**;!org.apache.commons.collections.**;" in der entsprechenden Startdatei, je nach Art des verwendeten Anwendungsservers.
Beispiel:
Apache Tomcat Application Server: edit JAVA_OPTS in the ‘Catalina.bat/sh’ file
WebLogic Application Server: edit JAVA_OPTIONS in the ‘startWeblogic.cmd’ file
WildFly/EAP Application Server: edit JAVA_OPTS in the ‘standalone.conf’ file
Setzen Sie die JVM-Flags auf einer JEE-Installation von ColdFusion, nicht auf einer eigenständigen Installation.
Weitere Informationen erhalten Sie unter https://helpx.adobe.com/de/security.html oder per E-Mail an PSIRT@adobe.com
