ID bulletinu
Naposledy aktualizováno
15. 1. 2026
Bezpečnostní aktualizace dostupné pro Adobe ColdFusion | APSB26-12
|
|
Datum zveřejnění |
Priorita |
|
APSB26-12 |
13. ledna 2026 |
1 |
Shrnutí
Společnost Adobe vydala bezpečnostní aktualizace pro ColdFusion verze 2025 a 2023. Tyto aktualizace závislostí řeší kritickou zranitelnost, která by mohla vést k libovolnému spuštění kódu.
Dotčené verze
|
Produkt |
Číslo aktualizace |
Platforma |
|
ColdFusion 2025 |
Aktualizace 5 a starší verze |
Vše |
|
ColdFusion 2023 |
Aktualizace 17 a starší verze |
Vše |
Řešení
Společnost Adobe označuje tyto aktualizace následujícími úrovněmi priority a doporučuje uživatelům aktualizovat produkty na nejnovější verze:
|
Produkt |
Aktualizovaná verze |
Platforma |
Úroveň priority |
Dostupnost |
|---|---|---|---|---|
|
ColdFusion 2025 |
Aktualizace 6 |
Vše |
1 |
|
|
ColdFusion 2023 |
Aktualizace 18 |
Vše |
1 |
Poznámka:
Z bezpečnostních důvodů důrazně doporučujeme používat nejnovější konektor Javy mysql. Další informace o použití naleznete na: https://helpx.adobe.com/coldfusion/kb/coldfusion-configuring-mysql-jdbc.html
Další podrobnosti o ochraně před útoky nezabezpečené deserializace naleznete v aktualizované dokumentaci sériového filtru: https://helpx.adobe.com/coldfusion/kb/coldfusion-serialfilter-file.html
Aktualizace závislostí
|
Číslo CVE |
Závislost |
Dopad chyby zabezpečení |
Postižené verze |
|
CVE-2025-66516 |
Apache Tika |
Svévolné spuštění kódu |
Aktualizace 5 a starší Aktualizace 17 a starší |
Další informace naleznete na adrese: https://lists.apache.org/thread/s5x3k93nhbkqzztp1olxotoyjpdlps9k
Poděkování:
Společnost Adobe by ráda poděkovala za nahlášení těchto potíží a za spolupráci při ochraně našich zákazníků následujícím výzkumníkům:
- Brian Reilly (reillyb) -- CVE-2025-61808, CVE-2025-61809
- Nhien Pham (nhienit2010) -- CVE-2025-61812, CVE-2025-61822, CVE-2025-61823
- nbxiglk -- CVE-2025-61810, CVE-2025-61811, CVE-2025-61813, CVE-2025-61821, CVE-2025-61830
- Karol Mazurek (cr1m5on) -- CVE-2025-64897
- bytehacker_sg -- CVE-2025-64898
POZNÁMKA: Společnost Adobe má ve spolupráci se společnosti HackerOne veřejný program Bug Bounty. Pokud máte zájem o spolupráci se společností Adobe jako externí výzkumník v oblasti zabezpečení, podívejte se na stránku https://hackerone.com/adobe.
Poznámka:
Společnost Adobe doporučuje z bezpečnostních důvodů aktualizovat verzi aplikace ColdFusion JDK/JRE LTS na nejnovější verzi aktualizace. Stránky ke stažení aplikace ColdFusion se pravidelně aktualizují tak, aby obsahovaly nejnovější instalační programy Javy pro verzi JDK, kterou vaše instalace podporuje, a to podle níže uvedených přehledů podpory.
Pokud si chcete projít pokyny, jak používat externí verzi JDK, projděte si článek věnovaný změně příznaku JVM aplikace ColdFusion.
Společnost Adobe také doporučuje použít nastavení konfigurace zabezpečení zahrnuté v dokumentaci Zabezpečení aplikace ColdFusion a přečíst si informace v příslušné příručce týkající se uzamčení.
Požadavky prostředí ColdFusion JDK
COLDFUSION 2025 (verze 2023.0.0.331385) a vyšší
Pro aplikační servery
V instalacích JEE nastavte následující příznak JVM: „-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**; !com.mysql.cj.jdbc.interceptors.**;!org.apache.commons.collections.**; " v příslušném spouštěcím souboru v závislosti na typu používaného aplikačního serveru.
{"trancreatedText": ["Například:
", "Aplikační server Apache Tomcat: upravte JAVA_OPTS v souboru „Catalina.bat/sh"
", "Aplikační server WebLogic: upravte JAVA_OPTIONS v souboru „startWeblogic.cmd"
", "Aplikační server WildFly/EAP: upravte JAVA_OPTS v souboru „standalone.conf"
", "Nastavte příznaky JVM v instalaci JEE aplikace coldfusion, nikoli v samostatné instalaci."]}
COLDFUSION 2023 (verze 2023.0.0.330468) a vyšší
Pro aplikační servery
V instalacích JEE nastavte následující příznak JVM: „-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**; !com.mysql.cj.jdbc.interceptors.**;!org.apache.commons.collections.**;" v příslušném spouštěcím souboru v závislosti na typu používaného aplikačního serveru.
{"trancreatedText": ["Například:
", "Aplikační server Apache Tomcat: upravte JAVA_OPTS v souboru „Catalina.bat/sh"
", "Aplikační server WebLogic: upravte JAVA_OPTIONS v souboru „startWeblogic.cmd"
", "Aplikační server WildFly/EAP: upravte JAVA_OPTS v souboru „standalone.conf"
", "Nastavte příznaky JVM v instalaci JEE aplikace coldfusion, nikoli v samostatné instalaci."]}
Další informace najdete na adrese https://helpx.adobe.com/cz/security.html nebo o ně zažádejte e-mailem na adrese PSIRT@adobe.com
