Beveiligingsadviezen van Adobe

Beveiligingsupdate beschikbaar voor Adobe ColdFusion | APSB26-68

Bulletin-id

Publicatiedatum

Prioriteit

APSB26-68

30 juni 2026

1

Samenvatting

Adobe heeft beveiligingsupdates uitgebracht voor ColdFusion versies 2025 en 2023. Deze updates lossen kritieke en belangrijke kwetsbaarheden op die kunnen leiden tot willekeurige code-uitvoering, escalatie van bevoegdheden, willekeurig lezen van het bestandssysteem en omzeiling van beveiligingsfuncties.

 Adobe is zich er niet van bewust dat de in deze updates behandelde problemen door onbevoegden worden misbruikt.

Van toepassing op de volgende versies

Product

Nummer update

Platform

ColdFusion 2025

Update 9 en eerdere versies

Alle

ColdFusion 2023

Update 20 en eerdere versies

Alle

Oplossing

Adobe heeft aan deze updates de onderstaande prioriteit toegekend en raadt gebruikers aan hun installaties bij te werken naar de meest recente versies:

Product

Bijgewerkte versie

Platform

Prioriteitsbeoordeling

Beschikbaarheid

ColdFusion 2025

Update 10

Alle

1

ColdFusion 2023

Update 21

Alle

1

Notitie

Om veiligheidsredenen raden we u ten zeerste aan om de nieuwste mysql java-connector te gebruiken. Voor meer informatie over het gebruik, raadpleeg: https://helpx.adobe.com/coldfusion/kb/coldfusion-configuring-mysql-jdbc.html

 Zie de bijgewerkte documentatie voor seriële filter voor meer details over bescherming tegen onveilige deserialisatie-aanvallen: https://helpx.adobe.com/coldfusion/kb/coldfusion-serialfilter-file.html

Details van kwetsbaarheid

Categorie van kwetsbaarheid Impact van kwetsbaarheid Ernst CVSS-basisscore CVSS-vector CVE-nummer
Onbeperkt uploaden van bestand met gevaarlijk type (CWE-434) Uitvoering van willekeurige code Kritiek 10.0 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H CVE-2026-48276
Onjuiste invoervalidatie (CWE-20) Uitvoering van willekeurige code Kritiek 10.0 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H CVE-2026-48277
Onjuiste invoervalidatie (CWE-20) Uitvoering van willekeurige code Kritiek 10.0 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H CVE-2026-48281
Onjuiste invoervalidatie (CWE-20) Uitvoering van willekeurige code Kritiek 10.0 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:N CVE-2026-48316
Onjuiste beperking van een padnaam naar een beperkte directory (Path Traversal) (CWE-22) Uitvoering van willekeurige code Kritiek 10.0 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H CVE-2026-48282
Onbeperkt uploaden van bestand met gevaarlijk type (CWE-434) Uitvoering van willekeurige code Kritiek 10.0 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H CVE-2026-48283
Onjuiste beperking van een padnaam naar een beperkte directory (Path Traversal) (CWE-22) Lezen van willekeurige bestandssystemen Kritiek 9.3 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:L/A:N CVE-2026-48313
Onjuiste invoervalidatie (CWE-20) Bevoegdhedenescalatie Kritiek 9.3 CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:N CVE-2026-48315
Cross-site scripting (gereflecteerde XSS) (CWE-79) Uitvoering van willekeurige code Kritiek 8.8 CVSS:3.1/AV:A/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H CVE-2026-48307
SSRF (aanvraagvervalsing op de server) (CWE-918) Omzeiling van beveiligingsfunctie Kritiek 8.6 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:N/A:N CVE-2026-48285
Onjuiste beperking van een padnaam naar een beperkte directory (Path Traversal) (CWE-22) Bevoegdhedenescalatie Belangrijk 6.5 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N CVE-2026-48314

Dankbetuigingen:

Adobe bedankt de volgende onderzoekers voor het melden van dit probleem en voor de samenwerking met Adobe om onze klanten te helpen beschermen:   

  • AnirudhAnand (a0xnirudh) - CVE-2026-48283, CVE-2026-48313
  • Matan Sandori (matans1) en 2Bsecure - CVE-2026-48307

OPMERKING: Adobe heeft een openbaar bug bounty-programma met HackerOne. Als u geïnteresseerd bent in een samenwerking met Adobe als externe beveiligingsonderzoeker, kijk dan hier: https://hackerone.com/adobe

Notitie

Adobe raadt u aan uw ColdFusion JDK/JRE LTS-versie te updaten naar de nieuwste updaterelease, als onderdeel van uw beveiligingsmaatregelen. De ColdFusion-downloadpagina wordt regelmatig bijgewerkt met de nieuwste Java-installatieprogramma's voor de JDK-versie die uw installatie ondersteunt volgens de onderstaande matrices. 

Zie ColdFusion JVM wijzigen voor instructies over het gebruik van een externe JDK. 

Adobe raadt klanten ook aan om de instellingen van de beveiligingsconfiguratie toe te passen, zoals beschreven in de ColdFusion Security-documentatie, en om de bijbehorende handleidingen voor lockdown te bekijken.    

Vereiste voor ColdFusion JDK

COLDFUSION 2025 (versie 2023.0.0.331385) en hoger
Voor applicatieservers

Stel op JEE-installaties de volgende JVM-vlag in, "-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**; !com.mysql.cj.jdbc.interceptors.**;!org.apache.commons.collections.**; " in het respectievelijke opstartbestand afhankelijk van het gebruikte type applicatieserver.

Bijvoorbeeld:
Apache Tomcat-applicatieserver: bewerk JAVA_OPTS in het bestand Catalina.bat/sh
WebLogic-applicatieserver: bewerk JAVA_OPTIONS in het bestand startWeblogic.cmd
WildFly/EAP-applicatieserver: bewerk JAVA_OPTS in het bestand standalone.conf
Stel de JVM-markeringen in op een JEE-installatie van ColdFusion, niet op een zelfstandige installatie.

 

COLDFUSION 2023 (versie 2023.0.0.330468) en hoger
Voor applicatieservers

Stel op JEE-installaties de volgende JVM-vlag in, "-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**; !com.mysql.cj.jdbc.interceptors.**;!org.apache.commons.collections.**;" in het respectievelijke opstartbestand afhankelijk van het gebruikte type applicatieserver.

Bijvoorbeeld:
Apache Tomcat-applicatieserver: bewerk JAVA_OPTS in het bestand Catalina.bat/sh
WebLogic-applicatieserver: bewerk JAVA_OPTIONS in het bestand startWeblogic.cmd
WildFly/EAP-applicatieserver: bewerk JAVA_OPTS in het bestand standalone.conf
Stel de JVM-markeringen in op een JEE-installatie van ColdFusion, niet op een zelfstandige installatie.

 

COLDFUSION 2021 (Versie 2021.0.0.323925) en hoger

Voor applicatieservers   

Stel op JEE-installaties de volgende JVM-vlag in, “-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**; !com.mysql.cj.jdbc.interceptors.**;!org.apache.commons.collections.**;"

in het respectievelijke opstartbestand afhankelijk van het gebruikte type applicatieserver.

Bijvoorbeeld:   

Apache Tomcat-applicatieserver: bewerk JAVA_OPTS in het bestand Catalina.bat/sh   

WebLogic-applicatieserver:  bewerk JAVA_OPTIONS in het bestand startWeblogic.cmd   

WildFly/EAP-applicatieserver:  bewerk JAVA_OPTS in het bestand standalone.conf   

Stel de JVM-markeringen in op een JEE-installatie van ColdFusion, niet op een zelfstandige installatie.   


Ga voor meer informatie naar https://helpx.adobe.com/nl/security.html of stuur een e-mail naar PSIRT@adobe.com 

Adobe, Inc.

Krijg sneller en gemakkelijker hulp

Nieuwe gebruiker?