Boletim de Segurança da Adobe

Atualização de segurança disponível para o Adobe ColdFusion | APSB26-68

ID do boletim

Data de publicação

Prioridade

APSB26-68

30 de junho de 2026

1

Resumo

A Adobe lançou atualizações de segurança para as versões 2025 e 2023 do ColdFusion. Essas atualizações corrigem vulnerabilidades críticas e importantes que poderiam levar à execução arbitrária de código, escalonamento de privilégios, leitura arbitrária do sistema de arquivos e contornamento de recursos de segurança.

 A Adobe não tem conhecimento de nenhuma exploração na Web de nenhum dos problemas abordados nestas atualizações.

Versões afetadas

Produto

Número da atualização

Plataforma

ColdFusion 2025

Atualização 9 e versões anteriores

Todos

ColdFusion 2023

Atualização 20 e versões anteriores

Todos

Solução

A Adobe classifica essas atualizações com a seguinte avaliação de prioridade e recomenda que os usuários atualizem suas instalações para as versões mais recentes:

Produto

Versão atualizada

Plataforma

Classificação de prioridade

Disponibilidade

ColdFusion 2025

Atualização 10

Todas

1

ColdFusion 2023

Atualização 21

Todas

1

Nota

Por motivos de segurança, é altamente recomendável usar o conector java mysql mais recente. Para obter mais informações sobre seu uso, consulte: https://helpx.adobe.com/br/coldfusion/kb/coldfusion-configuring-mysql-jdbc.html

 Consulte a documentação atualizada do filtro serial para obter mais detalhes sobre a proteção contra ataques de deserialização inseguros: https://helpx.adobe.com/br/coldfusion/kb/coldfusion-serialfilter-file.html

Detalhes da vulnerabilidade

Categoria da vulnerabilidade Impacto da vulnerabilidade Severidade Pontuação base de CVSS Vetor CVSS Número CVE
Upload irrestrito de arquivos com tipos perigosos (CWE-434) Execução de código arbitrária Crítico 10.0 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H CVE-2026-48276
Validação de entrada inadequada (CWE-20) Execução de código arbitrário Crítico 10.0 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H CVE-2026-48277
Validação de entrada inadequada (CWE-20) Execução de código arbitrário Crítico 10.0 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H CVE-2026-48281
Validação de entrada inadequada (CWE-20) Execução de código arbitrário Crítico 10.0 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:N CVE-2026-48316
Limitação incorreta de um nome de caminho para um diretório restrito ("Caminho transversal") (CWE-22) Execução de código arbitrária Crítico 10.0 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H CVE-2026-48282
Upload irrestrito de arquivos com tipos perigosos (CWE-434) Execução de código arbitrária Crítico 10.0 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H CVE-2026-48283
Limitação incorreta de um nome de caminho para um diretório restrito ("Caminho transversal") (CWE-22) Leitura arbitrária do sistema de arquivos Crítico 9.3 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:L/A:N CVE-2026-48313
Validação de entrada inadequada (CWE-20) Escalonamento de privilégio Crítico 9.3 CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:N CVE-2026-48315
Criação de script entre sites (XSS Refletido) (CWE-79) Execução de código arbitrário Crítico 8.8 CVSS:3.1/AV:A/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H CVE-2026-48307
Falsificação de solicitação do lado do servidor (SSRF) (CWE-918) Falha de recurso de segurança Crítico 8.6 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:N/A:N CVE-2026-48285
Limitação incorreta de um nome de caminho para um diretório restrito ("Caminho transversal") (CWE-22) Escalonamento de privilégios Importante 6.5 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N CVE-2026-48314

Agradecimentos:

A Adobe gostaria de agradecer aos seguintes pesquisadores por terem relatado esse problema e trabalhado com a Adobe para ajudar a proteger nossos clientes:   

  • AnirudhAnand (a0xnirudh) - CVE-2026-48283, CVE-2026-48313
  • Matan Sandori (matans1) e 2Bsecure - CVE-2026-48307

OBSERVAÇÃO: a Adobe tem um programa público de recompensa por erros com o HackerOne. Se você estiver interessado em trabalhar com a Adobe como pesquisador de segurança externo, consulte-nos aqui: https://hackerone.com/adobe

Nota

A Adobe recomenda atualizar sua versão do JDK/JRE LTS do ColdFusion para a versão mais recente. A página de downloads do ColdFusion é atualizada regularmente para incluir os instaladores Java mais recentes da versão do JDK compatível com a instalação de acordo com as matrizes abaixo. 

Para obter instruções sobre como usar um JDK externo, consulte Alterar JVM do ColdFusion

A Adobe recomenda que os clientes apliquem as configurações de segurança incluída nas documentações de segurança do ColdFusion, além de revisar os respectivos guias de bloqueio.    

Requisito de JDK do ColdFusion

COLDFUSION 2025 (versão 2023.0.0.331385) e posterior
Para servidores de aplicativos

Em instalações JEE, defina o seguinte sinalizado JVM, “-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**; !com.mysql.cj.jdbc.interceptors.**;!org.apache.commons.collections.**; ” no respectivo arquivo de inicialização, dependendo do tipo de servidor de aplicativo usado.

Por exemplo:
Servidor de aplicativos Apache Tomcat: edite JAVA_OPTS no arquivo 'Catalina.bat/sh'
Servidor de aplicativos WebLogic: edite JAVA_OPTIONS no arquivo 'startWeblogic.cmd'
Servidor de aplicativos WildFly/EAP: edite JAVA_OPTS no arquivo 'standalone.conf'
Defina os sinalizadores JVM em uma instalação JEE do ColdFusion, não em uma instalação autônoma.

 

COLDFUSION 2023 (versão 2023.0.0.330468) e posterior
Para servidores de aplicativos

Em instalações JEE, defina o seguinte sinalizado JVM, “-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**; !com.mysql.cj.jdbc.interceptors.**;!org.apache.commons.collections.**;” no respectivo arquivo de inicialização, dependendo do tipo de servidor de aplicativo usado.

Por exemplo:
Servidor de aplicativos Apache Tomcat: edite JAVA_OPTS no arquivo 'Catalina.bat/sh'
Servidor de aplicativos WebLogic: edite JAVA_OPTIONS no arquivo 'startWeblogic.cmd'
Servidor de aplicativos WildFly/EAP: edite JAVA_OPTS no arquivo 'standalone.conf'
Defina os sinalizadores JVM em uma instalação JEE do ColdFusion, não em uma instalação autônoma.

 

COLDFUSION 2021 (versão 2021.0.0.323925) e superior

Para servidores de aplicativos   

Em instalações do JEE, defina o seguinte sinalizador JVM: “-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**; !com.mysql.cj.jdbc.interceptors.**;!org.apache.commons.collections.**;

no respectivo arquivo de inicialização, dependendo do tipo de servidor de aplicativos sendo usado.

Por exemplo:   

Servidor de aplicativos Apache Tomcat: edite JAVA_OPTS no arquivo "Catalina.bat/sh"   

Servidor de aplicativos WebLogic:  edite JAVA_OPTIONS no arquivo "startWeblogic.cmd"   

Servidor de aplicativos WildFly/EAP:  edite JAVA_OPTS no arquivo "standalone.conf"   

Defina os sinalizadores JVM em uma instalação de JEE de ColdFusion, não em uma instalação individual.   


Para mais informações, acesse https://helpx.adobe.com/br/security.html ou envie um email para PSIRT@adobe.com 

Adobe, Inc.

Receba ajuda com mais rapidez e facilidade

Novo usuário?