Bulletin-ID
Zuletzt aktualisiert am
17. Juni 2026
Sicherheits-Update für Adobe ColdFusion verfügbar | APSB26-64
|
|
Veröffentlichungsdatum |
Priorität |
|
APSB26-64 |
9. Juni 2026 |
1 |
Zusammenfassung
Adobe hat Sicherheits-Updates für die ColdFusion-Versionen 2025 und 2023 veröffentlicht. Diese Updates beheben kritische und wichtige Sicherheitslücken, die zu willkürlicher Codeausführung, Berechtigungsausdehnung, willkürlichem Dateisystem-Lesezugriff und Umgehung der Sicherheitsfunktionen führen könnten.
Adobe sind keine Fälle bekannt, in denen die in diesen Updates behobenen Sicherheitslücken ausgenutzt wurden.
Betroffene Versionen
|
Produkt |
Updatenummer |
Plattform |
|
ColdFusion 2025 |
Update 8 und ältere Versionen |
Alle |
|
ColdFusion 2023 |
Update 19 und frühere Versionen |
Alle |
Lösung
Adobe stuft die Priorität dieser Updates wie nachstehend ein und empfiehlt die Installation allen Anwendern:
|
Produkt |
Aktualisierte Version |
Plattform |
Priorität |
Verfügbarkeit |
|---|---|---|---|---|
|
ColdFusion 2025 |
Update 9 |
Alle |
1 |
|
|
ColdFusion 2023 |
Update 20 |
Alle |
1 |
Anmerkung
Aus Sicherheitsgründen wird dringend empfohlen, den neuesten MySQL-Java-Connector zu verwenden. Weitere Informationen zur Verwendung finden Sie unter: https://helpx.adobe.com/de/coldfusion/kb/coldfusion-configuring-mysql-jdbc.html
Weitere Informationen zum Schutz vor unsicheren Deserialisierungsangriffen finden Sie in der aktualisierten Dokumentation zum Serienfilter: https://helpx.adobe.com/de/coldfusion/kb/coldfusion-serialfilter-file.html
Sicherheitslückendetails
| Sicherheitslückenkategorie | Sicherheitslückenauswirkung | Problemstufe | CVSS-Basispunktzahl | CVSS-Vektor | CVE-Nummer |
| Unangemessene Eingabevalidierung (CWE-20) | Willkürliche Codeausführung | Kritisch | 9.6 | CVSS:3.1/AV:A/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H | CVE-2026-47928 |
| Unzulässige Beschränkung eines Pfadnamens auf ein eingeschränktes Verzeichnis („Pfadübergang“) (CWE-22) | Umgehung der Sicherheitsfunktionen | Kritisch | 8.8 | CVSS:3.1/AV:A/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H | CVE-2026-47932 |
| Falsche Autorisierung (CWE-863) | Berechtigungsausweitung | Kritisch | 8.4 | CVSS:3.1/AV:A/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H | CVE-2026-47929 |
| Unangemessene Eingabevalidierung (CWE-20) | Willkürliche Codeausführung | Kritisch | 8.4 | CVSS:3.1/AV:A/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H | CVE-2026-47931 |
| Unangemessene Eingabevalidierung (CWE-20) | Willkürliche Codeausführung | Kritisch | 8.1 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N | CVE-2026-47930 |
| Nicht ordnungsgemäße Eingrenzung externer XML-Entitätsreferenzen ('XXE') (CWE-611) | Willkürlicher Dateisystem-Lesezugriff | Kritisch | 7.4 | CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:N/A:N | CVE-2026-47960 |
| Cross-Site-Scripting (beständiges XSS) (CWE-79) | Willkürliche Codeausführung | Wichtig | 4.8 | CVSS:3.1/AV:A/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2026-47933 |
Danksagung:
Adobe bedankt sich bei den folgenden Forschern für das Melden dieser Schwachstellen und für die Zusammenarbeit mit Adobe zum Schutz der Sicherheit unserer Kunden.
- AnirudhAnand (a0xnirudh) - CVE-2026-47928, CVE-2026-47932, CVE-2026-47933
- Sneharghya (sneharghyaroy) - CVE-2026-47929
- Nbxiglk - CVE-2026-47931, CVE-2026-47960
- Sapra - CVE-2026-47930
HINWEIS: Adobe hat ein öffentliches Bug-Bounty-Programm mit HackerOne. Wenn Sie an einer Zusammenarbeit mit Adobe als externer Sicherheitsforscher interessiert sind, informieren Sie sich bitte hier: https://hackerone.com/adobe
Anmerkung
Adobe empfiehlt, als Sicherheitsmaßnahmen Ihre ColdFusion JDK/JRE LTS-Version auf die neueste Update-Version zu aktualisieren. Die Download-Seite für ColdFusion wird regelmäßig aktualisiert, um die neuesten Java-Installationsprogramme für die von Ihrer Installation unterstützte JDK-Version gemäß den nachstehenden Matrizen einzubeziehen.
Anweisungen zur Verwendung eines externen JDK finden Sie unter ColdFusion JVM ändern.
Adobe empfiehlt zudem, die Sicherheitskonfigurationseinstellungen zu verwenden, die in der ColdFusion-Dokumentation enthalten sind, und die Informationen in den jeweiligen Lockdown Guides beachten.
ColdFusion JDK-Anforderung
COLDFUSION 2025 (Version 2023.0.0.331385) und höher
Für Anwendungsserver
In JEE-Installationen legen Sie entsprechend dem Typ des verwendeten Anwendungsservers das folgende JVM-Flag in der jeweiligen Startdatei fest: „-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**; !com.mysql.cj.jdbc.interceptors.**;!org.apache.commons.collections.**;“.
Beispiel:
Apache Tomcat Anwendungs-Server: Editieren Sie JAVA_OPTS in der Datei „Catalina.bat/sh“
WebLogic Anwendungs-Server: Editieren Sie JAVA_OPTIONS in der Datei „startWeblogic.cmd“
WildFly/EAP Anwendungs-Server: Editieren Sie JAVA_OPTS in der Datei „standalone.conf“
Setzen Sie die JVM-Flags bei einer JEE-Installation von ColdFusion, nicht bei einer Standalone-Installation.
COLDFUSION 2023 (Version 2023.0.0.330468) und höher
Für Anwendungs-Server
In JEE-Installationen legen Sie entsprechend dem Typ des verwendeten Anwendungs-Servers das folgende JVM-Flag in der jeweiligen Startdatei fest: „-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**; !com.mysql.cj.jdbc.interceptors.**;!org.apache.commons.collections.**;“.
Beispiel:
Apache Tomcat Anwendungs-Server: Editieren Sie JAVA_OPTS in der Datei „Catalina.bat/sh“
WebLogic Anwendungs-Server: Editieren Sie JAVA_OPTIONS in der Datei „startWeblogic.cmd“
WildFly/EAP Anwendungs-Server: Editieren Sie JAVA_OPTS in der Datei „standalone.conf“
Setzen Sie die JVM-Flags bei einer JEE-Installation von ColdFusion, nicht bei einer Standalone-Installation.
COLDFUSION 2021 (Version 2021.0.0.323925) und höher
Für Anwendungs-Server
Setzen Sie in JEE-Installationen das JVM-Flag „-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**; !com.mysql.cj.jdbc.interceptors.**;!org.apache.commons.collections.**;“
in der Startdatei des verwendeten Anwendungs-Servers.
Beispiel:
Apache Tomcat Anwendungs-Server: Bearbeiten Sie JAVA_OPTS in der Datei „Catalina.bat/sh“
WebLogic Anwendungs-Server: Bearbeiten Sie JAVA_OPTIONS in der Datei „startWeblogic.cmd“
WildFly/EAP Anwendungs-Server: Bearbeiten Sie die JAVA_OPTS in der Datei „standalone.conf“
Setzen Sie die JVM-Flags in einer JEE-Installation von ColdFusion, nicht in einer eigenständigen Installation.
Weitere Informationen erhalten Sie unter https://helpx.adobe.com/de/security.html oder per E-Mail an PSIRT@adobe.com
