ID bulletinu
Naposledy aktualizováno
16. 12. 2025
Aktualizace zabezpečení pro aplikaci Adobe ColdFusion | APSB25-105
|
|
Datum zveřejnění |
Priorita |
|
APSB25-105 |
9. prosince 2025 |
1 |
Shrnutí
Společnost Adobe vydala aktualizace zabezpečení pro aplikaci ColdFusion verzí 2025, 2023 a 2021. Tyto aktualizace řeší kritické a důležité zranitelnosti, které by mohly vést k libovolnému zápisu do systému souborů, libovolnému čtení ze systému souborů, spuštění libovolného kódu, obejití bezpečnostních funkcí a zvýšení oprávnění.
Společnost Adobe neví o žádném zneužití chyb vyřešených v těchto aktualizací v reálném prostředí.
Dotčené verze
|
Produkt |
Číslo aktualizace |
Platforma |
|
ColdFusion 2025 |
Aktualizace 4 a starší verze |
Vše |
|
ColdFusion 2023 |
Aktualizace 16 a starší verze |
Vše |
|
ColdFusion 2021 |
Aktualizace 22 a starší verze |
Všechny |
Řešení
Společnost Adobe označuje tyto aktualizace následujícími úrovněmi priority a doporučuje uživatelům aktualizovat produkty na nejnovější verze:
|
Produkt |
Aktualizovaná verze |
Platforma |
Úroveň priority |
Dostupnost |
|---|---|---|---|---|
|
ColdFusion 2025 |
Aktualizace 5 |
Vše |
1 |
|
|
ColdFusion 2023 |
Aktualizace 17 |
Vše |
1 |
|
|
ColdFusion 2021 |
Aktualizace 23 |
Vše |
1 |
Poznámka:
Z bezpečnostních důvodů důrazně doporučujeme používat nejnovější konektor Javy mysql. Další informace o použití naleznete na: https://helpx.adobe.com/coldfusion/kb/coldfusion-configuring-mysql-jdbc.html
Další podrobnosti o ochraně před útoky nezabezpečené deserializace naleznete v aktualizované dokumentaci sériového filtru: https://helpx.adobe.com/coldfusion/kb/coldfusion-serialfilter-file.html
Podrobnosti o chybě zabezpečení
|
Kategorie chyby zabezpečení |
Dopad chyby zabezpečení |
Závažnost |
Základní hodnocení CVSS |
Čísla CVE |
|
|
Neomezené nahrání souboru s nebezpečným typem (CWE-434)
|
Svévolné spuštění kódu |
Kritická |
9.1 |
|
CVE-2025-61808 |
|
Nesprávné ověření vstupu (CWE-20) |
Obcházení bezpečnostních funkcí |
Kritická |
9.1 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N |
CVE-2025-61809 |
|
Deserializace nedůvěryhodných dat (CWE-502) |
Svévolné spuštění kódu |
Kritická |
8.4 |
CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:H/I:H/A:H |
CVE-2025-61830 |
|
Deserializace nedůvěryhodných dat (CWE-502) |
Svévolné spuštění kódu |
Kritická |
8.2 |
CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:H/I:H/A:H |
CVE-2025-61810 |
|
Nesprávné řízení přístupu (CWE-284) |
Svévolné spuštění kódu |
Kritická |
8.4 |
CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:H/I:H/A:H |
CVE-2025-61811 |
|
Nesprávné ověření vstupu (CWE-20) |
Svévolné spuštění kódu |
Kritická |
8.4 |
CVSS:3.1/AV:A/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H |
CVE-2025-61812 |
|
Nesprávné omezení reference na externí entitu XML („XXE“) (CWE-611) |
Nahodilé čtení souborového systému |
Kritická |
8.2 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:N/A:L |
CVE-2025-61813 |
|
Nesprávné omezení reference na externí entitu XML („XXE“) (CWE-611) |
Nahodilé čtení souborového systému |
Důležitá |
6.8 |
|
CVE-2025-61821 |
|
Nesprávné ověření vstupu (CWE-20) |
Nahodilý zápis do souborového systému |
Důležitá |
6.2 |
CVSS:3.1/AV:A/AC:L/PR:H/UI:N/S:C/C:N/I:H/A:N |
CVE-2025-61822 |
|
Nesprávné omezení reference na externí entitu XML („XXE“) (CWE-611) |
Nahodilé čtení souborového systému |
Důležitá |
6.2 |
CVSS:3.1/AV:A/AC:L/PR:H/UI:N/S:C/C:N/I:H/A:N |
Důležitá CVE-2025-61823 |
|
Nesprávné řízení přístupu (CWE-284) |
Zvyšování oprávnění |
Důležitá |
5.6 |
CVSS:3.1/AV:L/AC:L/PR:L/UI:R/S:U/C:N/I:L/A:H
|
CVE-2025-64897 |
|
Nedostatečně chráněné přihlašovací údaje (CWE-522) |
Zvyšování oprávnění |
Důležitá |
4.3 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N |
CVE-2025-64898 |
Poděkování:
Společnost Adobe by ráda poděkovala za nahlášení těchto potíží a za spolupráci při ochraně našich zákazníků následujícím výzkumníkům:
- Brian Reilly (reillyb) -- CVE-2025-61808, CVE-2025-61809
- Nhien Pham (nhienit2010) -- CVE-2025-61812, CVE-2025-61822, CVE-2025-61823
- nbxiglk -- CVE-2025-61810, CVE-2025-61811, CVE-2025-61813, CVE-2025-61821, CVE-2025-61830
- Karol Mazurek (cr1m5on) -- CVE-2025-64897
- bytehacker_sg -- CVE-2025-64898
POZNÁMKA: Společnost Adobe má ve spolupráci se společnosti HackerOne veřejný program Bug Bounty. Pokud máte zájem o spolupráci se společností Adobe jako externí výzkumník v oblasti zabezpečení, podívejte se na stránku https://hackerone.com/adobe.
Poznámka:
Společnost Adobe doporučuje z bezpečnostních důvodů aktualizovat verzi aplikace ColdFusion JDK/JRE LTS na nejnovější verzi aktualizace. Stránky ke stažení aplikace ColdFusion se pravidelně aktualizují tak, aby obsahovaly nejnovější instalační programy Javy pro verzi JDK, kterou vaše instalace podporuje, a to podle níže uvedených přehledů podpory.
- Přehled podpory k aplikaci ColdFusion 2025
- Přehled podpory k aplikaci ColdFusion 2023
- Přehled podpory k aplikaci ColdFusion 2021
Pokud si chcete projít pokyny, jak používat externí verzi JDK, projděte si článek věnovaný změně příznaku JVM aplikace ColdFusion.
Společnost Adobe také doporučuje použít nastavení konfigurace zabezpečení zahrnuté v dokumentaci Zabezpečení aplikace ColdFusion a přečíst si informace v příslušné příručce týkající se uzamčení.
Požadavky prostředí ColdFusion JDK
COLDFUSION 2025 (verze 2023.0.0.331385) a vyšší
Pro aplikační servery
U instalací JEE nastavte do příslušného spouštěcího souboru v závislosti na typu použitého aplikačního serveru příznak JVM na hodnotu „-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**; !com.mysql.cj.jdbc.interceptors.**;!org.apache.commons.collections.**;“.
Například:
Aplikační server Apache Tomcat: Upravte JAVA_OPTS v souboru „Catalina.bat/sh“
Aplikační server WebLogic: Upravte JAVA_OPTIONS v souboru „startWeblogic.cmd“
Aplikační server WildFly/EAP: Upravte JAVA_OPTS v souboru „standalone.conf“
Nastavte příznaky JVM v instalaci JEE aplikace ColdFusion, nikoli v samostatné instalaci.
COLDFUSION 2023 (verze 2023.0.0.330468) a vyšší
Pro aplikační servery
U instalací JEE nastavte do příslušného spouštěcího souboru v závislosti na typu použitého aplikačního serveru příznak JVM na hodnotu „-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**; !com.mysql.cj.jdbc.interceptors.**;!org.apache.commons.collections.**;“.
Například:
Aplikační server Apache Tomcat: Upravte JAVA_OPTS v souboru „Catalina.bat/sh“
Aplikační server WebLogic: Upravte JAVA_OPTIONS v souboru „startWeblogic.cmd“
Aplikační server WildFly/EAP: Upravte JAVA_OPTS v souboru „standalone.conf“
Nastavte příznaky JVM v instalaci JEE aplikace ColdFusion, nikoli v samostatné instalaci.
COLDFUSION 2021 (verze 2021.0.0.323925) a vyšší
Pro aplikační servery
U instalací JEE nastavte příznak JVM na hodnotu „-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**; !com.mysql.cj.jdbc.interceptors.**;!org.apache.commons.collections.**;“.
v příslušném spouštěcím souboru v závislosti na typu používaného aplikačního serveru.
Například:
Na aplikačním serveru Apache Tomcat: Upravte parametr JAVA_OPTS v souboru „Catalina.bat/sh“.
Na aplikačním serveru WebLogic: Upravte parametr JAVA_OPTIONS v souboru „startWeblogic.cmd“.
Na aplikačním serveru WildFly/EAP: Upravte parametr JAVA_OPTS v souboru „standalone.conf“.
Příznaky JVM nastavujte u instalace JEE aplikace ColdFusion, nikoliv u samostatné instalace.
Další informace najdete na adrese https://helpx.adobe.com/cz/security.html nebo o ně zažádejte e-mailem na adrese PSIRT@adobe.com
