Bulletin-ID
Zuletzt aktualisiert am
24. April 2026
Sicherheits-Updates für Adobe ColdFusion verfügbar | APSB26-38
|
|
Veröffentlichungsdatum |
Priorität |
|
APSB26-38 |
14. April 2026 |
1 |
Zusammenfassung
Adobe hat Sicherheits-Updates für die ColdFusion-Versionen 2025 und 2023 veröffentlicht. Diese Updates beheben kritische und moderate Sicherheitslücken, die zu willkürlicher Codeausführung, willkürlichem Dateisystem-Lesezugriff und Umgehung der Sicherheitsfunktionen führen könnten.
Adobe sind keine Fälle bekannt, in denen die in diesen Updates behobenen Sicherheitslücken ausgenutzt wurden.
Betroffene Versionen
|
Produkt |
Updatenummer |
Plattform |
|
ColdFusion 2025 |
Update 6 und ältere Versionen |
Alle |
|
ColdFusion 2023 |
Update 18 und frühere Versionen |
Alle |
Lösung
Adobe stuft die Priorität dieser Updates wie nachstehend ein und empfiehlt die Installation allen Anwendern:
|
Produkt |
Aktualisierte Version |
Plattform |
Priorität |
Verfügbarkeit |
|---|---|---|---|---|
|
ColdFusion 2025 |
Update 7 |
Alle |
1 |
|
|
ColdFusion 2023 |
Update 19 |
Alle |
1 |
Hinweis:
Aus Sicherheitsgründen wird dringend empfohlen, den neuesten MySQL-Java-Connector zu verwenden. Weitere Informationen zur Verwendung finden Sie unter: https://helpx.adobe.com/de/coldfusion/kb/coldfusion-configuring-mysql-jdbc.html
Weitere Informationen zum Schutz vor unsicheren Deserialisierungsangriffen finden Sie in der aktualisierten Dokumentation zum Serienfilter: https://helpx.adobe.com/de/coldfusion/kb/coldfusion-serialfilter-file.html
Sicherheitslückendetails
|
Sicherheitslückenkategorie |
Sicherheitslückenauswirkung |
Problemstufe |
CVSS-Basispunktzahl |
CVE-Nummern |
|
|
Unzulässige Beschränkung eines Pfadnamens auf ein eingeschränktes Verzeichnis („Pfadübergang“) (CWE-22) |
Umgehung der Sicherheitsfunktionen |
Kritisch |
7,7 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:N/I:N/A:H |
CVE-2026-34619 |
|
Unangemessene Eingabevalidierung (CWE-20) |
Willkürliche Codeausführung |
Kritisch |
9.3 |
CVSS:3.1/AV:A/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:N |
CVE-2026-27304 |
|
Unzulässige Beschränkung eines Pfadnamens auf ein eingeschränktes Verzeichnis („Pfadübergang“) (CWE-22) |
Willkürlicher Dateisystem-Lesezugriff |
Kritisch |
8.6 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:N/A:N |
CVE-2026-27305 |
|
Unangemessene Eingabevalidierung (CWE-20) |
Umgehung der Sicherheitsfunktionen |
Kritisch |
7.5 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N |
CVE-2026-27282 |
|
Unangemessene Eingabevalidierung (CWE-20) |
Willkürliche Codeausführung |
Kritisch |
8.4 |
CVSS:3.1/AV:A/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H |
CVE-2026-27306 |
|
Unkontrollierter Ressourcenverbrauch (CWE-400) |
Denial-of-Service-Angriff auf Anwendungsebene |
Mittel |
2.4 |
CVSS:3.1/AV:A/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:L |
CVE-2026-27307 |
|
Unkontrollierter Ressourcenverbrauch (CWE-400) |
Denial-of-Service-Angriff auf Anwendungsebene |
Mittel |
2.4 |
CVSS:3.1/AV:A/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:L |
CVE-2026-27308 |
Danksagung:
Adobe bedankt sich bei den folgenden Forschern für das Melden dieser Schwachstellen und für die Zusammenarbeit mit Adobe zum Schutz der Sicherheit unserer Kunden.
- AnirudhAnand (a0xnirudh) -- CVE-2026-27304
- nbxiglk -- CVE-2026-27306
- Jonathan Lein von TrendAI Research -- CVE-2026-27282, CVE-2026-34619, CVE-2026-27305
- Idris_Tester092004 (tester092004) -- CVE-2026-27307, CVE-2026-27308
HINWEIS: Adobe hat ein öffentliches Bug-Bounty-Programm mit HackerOne. Wenn Sie an einer Zusammenarbeit mit Adobe als externer Sicherheitsforscher interessiert sind, informieren Sie sich bitte hier: https://hackerone.com/adobe
Hinweis:
Adobe empfiehlt, als Sicherheitsmaßnahmen Ihre ColdFusion JDK/JRE LTS-Version auf die neueste Update-Version zu aktualisieren. Die Download-Seite für ColdFusion wird regelmäßig aktualisiert, um die neuesten Java-Installationsprogramme für die von Ihrer Installation unterstützte JDK-Version gemäß den nachstehenden Matrizen einzubeziehen.
Anweisungen zur Verwendung eines externen JDK finden Sie unter ColdFusion JVM ändern.
Adobe empfiehlt zudem, die Sicherheitskonfigurationseinstellungen zu verwenden, die in der ColdFusion-Dokumentation enthalten sind, und die Informationen in den jeweiligen Lockdown Guides beachten.
ColdFusion JDK-Anforderung
COLDFUSION 2025 (Version 2023.0.0.331385) und höher
Für Anwendungsserver
In JEE-Installationen legen Sie entsprechend dem Typ des verwendeten Anwendungsservers das folgende JVM-Flag in der jeweiligen Startdatei fest: „-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**; !com.mysql.cj.jdbc.interceptors.**;!org.apache.commons.collections.**;“.
Beispiel:
Apache Tomcat Anwendungs-Server: Editieren Sie JAVA_OPTS in der Datei „Catalina.bat/sh“
WebLogic Anwendungs-Server: Editieren Sie JAVA_OPTIONS in der Datei „startWeblogic.cmd“
WildFly/EAP Anwendungs-Server: Editieren Sie JAVA_OPTS in der Datei „standalone.conf“
Setzen Sie die JVM-Flags bei einer JEE-Installation von ColdFusion, nicht bei einer Standalone-Installation.
COLDFUSION 2023 (Version 2023.0.0.330468) und höher
Für Anwendungs-Server
In JEE-Installationen legen Sie entsprechend dem Typ des verwendeten Anwendungs-Servers das folgende JVM-Flag in der jeweiligen Startdatei fest: „-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**; !com.mysql.cj.jdbc.interceptors.**;!org.apache.commons.collections.**;“.
Beispiel:
Apache Tomcat Anwendungs-Server: Editieren Sie JAVA_OPTS in der Datei „Catalina.bat/sh“
WebLogic Anwendungs-Server: Editieren Sie JAVA_OPTIONS in der Datei „startWeblogic.cmd“
WildFly/EAP Anwendungs-Server: Editieren Sie JAVA_OPTS in der Datei „standalone.conf“
Setzen Sie die JVM-Flags bei einer JEE-Installation von ColdFusion, nicht bei einer Standalone-Installation.
COLDFUSION 2021 (Version 2021.0.0.323925) und höher
Für Anwendungs-Server
Setzen Sie in JEE-Installationen das JVM-Flag „-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**; !com.mysql.cj.jdbc.interceptors.**;!org.apache.commons.collections.**;“
in der Startdatei des verwendeten Anwendungs-Servers.
Beispiel:
Apache Tomcat Anwendungs-Server: Bearbeiten Sie JAVA_OPTS in der Datei „Catalina.bat/sh“
WebLogic Anwendungs-Server: Bearbeiten Sie JAVA_OPTIONS in der Datei „startWeblogic.cmd“
WildFly/EAP Anwendungs-Server: Bearbeiten Sie die JAVA_OPTS in der Datei „standalone.conf“
Setzen Sie die JVM-Flags in einer JEE-Installation von ColdFusion, nicht in einer eigenständigen Installation.
Weitere Informationen erhalten Sie unter https://helpx.adobe.com/de/security.html oder per E-Mail an PSIRT@adobe.com
