ID do boletim
Última atualização em
21 de jan de 2026
Atualizações de segurança disponíveis para Adobe ColdFusion | APSB26-12
|
|
Data de publicação |
Prioridade |
|
APSB26-12 |
13 de janeiro de 2026 |
1 |
Resumo
A Adobe lançou atualizações de segurança para as versões 2025 e 2023 do ColdFusion. Essas atualizações de dependência resolvem uma vulnerabilidade crítica que poderia levar à execução de código arbitrário.
Versões afetadas
|
Produto |
Número da atualização |
Plataforma |
|
ColdFusion 2025 |
Atualização 5 e versões anteriores |
Todas |
|
ColdFusion 2023 |
Atualização 17 e versões anteriores |
Todas |
Solução
A Adobe classifica essas atualizações com a seguinte avaliação de prioridade e recomenda que os usuários atualizem suas instalações para as versões mais recentes:
|
Produto |
Versão atualizada |
Plataforma |
Classificação de prioridade |
Disponibilidade |
|---|---|---|---|---|
|
ColdFusion 2025 |
Atualização 6 |
Todas |
1 |
|
|
ColdFusion 2023 |
Atualização 18 |
Todas |
1 |
Observação:
Por motivos de segurança, é altamente recomendável usar o conector java mysql mais recente. Para obter mais informações sobre seu uso, consulte: https://helpx.adobe.com/br/coldfusion/kb/coldfusion-configuring-mysql-jdbc.html
Consulte a documentação atualizada do filtro serial para obter mais detalhes sobre a proteção contra ataques de deserialização inseguros: https://helpx.adobe.com/br/coldfusion/kb/coldfusion-serialfilter-file.html
Atualização das dependências
|
Número CVE |
Dependência |
Impacto da vulnerabilidade |
Versões afetadas |
|
CVE-2025-66516 |
Apache Tika |
Execução de código arbitrário |
Atualização 5 e anteriores Atualização 17 e anteriores |
Para mais informações, consulte: https://lists.apache.org/thread/s5x3k93nhbkqzztp1olxotoyjpdlps9k
Agradecimentos:
A Adobe gostaria de agradecer aos seguintes pesquisadores por terem relatado esse problema e trabalhado com a Adobe para ajudar a proteger nossos clientes:
- Brian Reilly (reillyb) -- CVE-2025-61808, CVE-2025-61809
- Nhien Pham (nhienit2010) -- CVE-2025-61812, CVE-2025-61822, CVE-2025-61823
- nbxiglk -- CVE-2025-61810, CVE-2025-61811, CVE-2025-61813, CVE-2025-61821, CVE-2025-61830
- Karol Mazurek (cr1m5on) -- CVE-2025-64897
- bytehacker_sg -- CVE-2025-64898
OBSERVAÇÃO: a Adobe tem um programa público de recompensa por erros com o HackerOne. Se você estiver interessado em trabalhar com a Adobe como pesquisador de segurança externo, consulte-nos aqui: https://hackerone.com/adobe
Observação:
A Adobe recomenda atualizar sua versão do JDK/JRE LTS do ColdFusion para a versão mais recente. A página de downloads do ColdFusion é atualizada regularmente para incluir os instaladores Java mais recentes da versão do JDK compatível com a instalação de acordo com as matrizes abaixo.
Para obter instruções sobre como usar um JDK externo, consulte Alterar JVM do ColdFusion.
A Adobe recomenda que os clientes apliquem as configurações de segurança incluída nas documentações de segurança do ColdFusion, além de revisar os respectivos guias de bloqueio.
Requisito de JDK do ColdFusion
COLDFUSION 2025 (versão 2023.0.0.331385) e superiores
Para Servidor de Aplicativo
Em instalações JEE, defina o seguinte sinalizador de JVM, “-Djdk.serialFilter= !org.mozilla.;!com.sun.syndication.;!org.apache.commons.beanutils.;!org.jgroups.;!com.sun.rowset.; !com.mysql.cj.jdbc.interceptors.;!org.apache.commons.collections.**; ” no respectivo arquivo de inicialização, dependendo do tipo de Servidor de Aplicativo que estiver sendo utilizado.
Por exemplo:
Servidor de Aplicativo Apache Tomcat: edite JAVA_OPTS no arquivo ‘Catalina.bat/sh’
Servidor de Aplicativo WebLogic: edite JAVA_OPTIONS no arquivo ‘startWeblogic.cmd’
Servidor de Aplicativo WildFly/EAP: edite JAVA_OPTS no arquivo ‘standalone.conf’
Defina os sinalizadores de JVM em uma instalação JEE do ColdFusion, e não em uma instalação standalone.
COLDFUSION 2023 (versão 2023.0.0.330468) e superiores
Para Servidores de Aplicativo
Em instalações JEE, defina o seguinte sinalizador de JVM, “-Djdk.serialFilter= !org.mozilla.;!com.sun.syndication.;!org.apache.commons.beanutils.;!org.jgroups.;!com.sun.rowset.; !com.mysql.cj.jdbc.interceptors.;!org.apache.commons.collections.**;” no respectivo arquivo de inicialização, dependendo do tipo de Servidor de Aplicativo que estiver sendo utilizado.
Por exemplo:
Servidor de Aplicativo Apache Tomcat: edite JAVA_OPTS no arquivo ‘Catalina.bat/sh’
Servidor de Aplicativo WebLogic: edite JAVA_OPTIONS no arquivo ‘startWeblogic.cmd’
Servidor de Aplicativo WildFly/EAP: edite JAVA_OPTS no arquivo ‘standalone.conf’
Defina os sinalizadores de JVM em uma instalação JEE do ColdFusion, e não em uma instalação standalone.
Para mais informações, acesse https://helpx.adobe.com/br/security.html ou envie um email para PSIRT@adobe.com
