Bezpečnostní bulletin společnosti Adobe

Bezpečnostní aktualizace dostupné pro Adobe ColdFusion | APSB25-93

ID bulletinu

Datum zveřejnění

Priorita

APSB25-93

9. září 2025

1

Shrnutí

Adobe vydala bezpečnostní aktualizace pro verze ColdFusion 2025, 2023 a 2021. Tyto aktualizace řeší kritickou zranitelnost, která by mohla vést k libovolnému zápisu do souborového systému.

 Společnost Adobe neví o žádném zneužití chyb vyřešených v těchto aktualizací v reálném prostředí.

Dotčené verze

Produkt

Číslo aktualizace

Platforma

ColdFusion 2025

Aktualizace 3 a starší verze

Vše

ColdFusion 2023

Aktualizace 15 a starší verze
  

Vše

ColdFusion 2021

Aktualizace 21 a starší verze

Všechny

Řešení

Společnost Adobe označuje tyto aktualizace následujícími úrovněmi priority a doporučuje uživatelům aktualizovat produkty na nejnovější verze:

Produkt

Aktualizovaná verze

Platforma

Úroveň priority

Dostupnost

ColdFusion 2025

Aktualizace 4

Vše

1

ColdFusion 2023

Aktualizace 16

Vše

1

ColdFusion 2021

Aktualizace 22

Vše

1

Poznámka:

Z bezpečnostních důvodů důrazně doporučujeme používat nejnovější konektor Javy mysql. Další informace k jeho použití najdete  v článku https://helpx.adobe.com/coldfusion/kb/coldfusion-configuring-mysql-jdbc.html

Další podrobnosti o ochraně proti útokům využívajícím nezabezpečenou deserializaci Wddx najdete na stránce https://helpx.adobe.com/cz/coldfusion/kb/coldfusion-serialfilter-file.html

Podrobnosti o chybě zabezpečení

Kategorie chyby zabezpečení

Dopad chyby zabezpečení

Závažnost

Základní hodnocení CVSS 

Čísla CVE

Nesprávné omezení názvu cesty do omezeného adresáře („Procházení cesty“) (CWE-22)

Nahodilý zápis do souborového systému

Kritická

10.0

 

CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H

CVE-2025-54261

Poděkování:

Společnost Adobe by ráda poděkovala za nahlášení těchto potíží a za spolupráci při ochraně našich zákazníků následujícím výzkumníkům:   

  • Nhien Pham (nhienit2010) - CVE-2025-54261

POZNÁMKA: Společnost Adobe má ve spolupráci se společnosti HackerOne veřejný program Bug Bounty. Pokud máte zájem o spolupráci se společností Adobe jako externí výzkumník v oblasti zabezpečení, podívejte se na stránku https://hackerone.com/adobe.

Poznámka:

Společnost Adobe doporučuje z bezpečnostních důvodů aktualizovat verzi aplikace ColdFusion JDK/JRE LTS na nejnovější verzi aktualizace. Stránky ke stažení aplikace ColdFusion se pravidelně aktualizují tak, aby obsahovaly nejnovější instalační programy Javy pro verzi JDK, kterou vaše instalace podporuje, a to podle níže uvedených přehledů podpory. 

Pokud si chcete projít pokyny, jak používat externí verzi JDK, projděte si článek věnovaný změně příznaku JVM aplikace ColdFusion

Společnost Adobe také doporučuje použít nastavení konfigurace zabezpečení zahrnuté v dokumentaci Zabezpečení aplikace ColdFusion a přečíst si informace v příslušné příručce týkající se uzamčení.    

Požadavky prostředí ColdFusion JDK

COLDFUSION 2025 (verze 2023.0.0.331385) a vyšší
Pro aplikační servery

U instalací JEE nastavte do příslušného spouštěcího souboru v závislosti na typu použitého aplikačního serveru příznak JVM na hodnotu „-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**; !com.mysql.cj.jdbc.interceptors.**;!org.apache.commons.collections.**;“.

Například:
Aplikační server Apache Tomcat: Upravte JAVA_OPTS v souboru „Catalina.bat/sh“
Aplikační server WebLogic: Upravte JAVA_OPTIONS v souboru „startWeblogic.cmd“
Aplikační server WildFly/EAP: Upravte JAVA_OPTS v souboru „standalone.conf“
Nastavte příznaky JVM v instalaci JEE aplikace ColdFusion, nikoli v samostatné instalaci.

 

COLDFUSION 2023 (verze 2023.0.0.330468) a vyšší
Pro aplikační servery

U instalací JEE nastavte do příslušného spouštěcího souboru v závislosti na typu použitého aplikačního serveru příznak JVM na hodnotu „-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**; !com.mysql.cj.jdbc.interceptors.**;!org.apache.commons.collections.**;“.

Například:
Aplikační server Apache Tomcat: Upravte JAVA_OPTS v souboru „Catalina.bat/sh“
Aplikační server WebLogic: Upravte JAVA_OPTIONS v souboru „startWeblogic.cmd“
Aplikační server WildFly/EAP: Upravte JAVA_OPTS v souboru „standalone.conf“
Nastavte příznaky JVM v instalaci JEE aplikace ColdFusion, nikoli v samostatné instalaci.

 

COLDFUSION 2021 (verze 2021.0.0.323925) a vyšší

Pro aplikační servery   

U instalací JEE nastavte příznak JVM na hodnotu „-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**; !com.mysql.cj.jdbc.interceptors.**;!org.apache.commons.collections.**;“.

v příslušném spouštěcím souboru v závislosti na typu používaného aplikačního serveru.

Například:   

Na aplikačním serveru Apache Tomcat: Upravte parametr JAVA_OPTS v souboru „Catalina.bat/sh“.   

Na aplikačním serveru WebLogic:   Upravte parametr JAVA_OPTIONS v souboru „startWeblogic.cmd“.   

Na aplikačním serveru WildFly/EAP:   Upravte parametr JAVA_OPTS v souboru „standalone.conf“.   

Příznaky JVM nastavujte u instalace JEE aplikace ColdFusion, nikoliv u samostatné instalace.   


Další informace najdete na adrese https://helpx.adobe.com/cz/security.html nebo o ně zažádejte e-mailem na adrese PSIRT@adobe.com 

Adobe, Inc.

Získejte pomoc rychleji a snáze

Nový uživatel?