Bulletin-ID
Sidst opdateret den
18. dec. 2025
Tilgængelige sikkerhedsopdateringer til Adobe ColdFusion | APSB25-105
|
|
Udgivelsesdato |
Prioritet |
|
APSB25-105 |
9. december 2025 |
1 |
Resumé
Adobe har udgivet sikkerhedsopdateringer til ColdFusion-versionerne 2021, 2023 og 2025. Disse opdateringer løser kritiske og vigtige sikkerhedsproblemer, der kan føre til vilkårlig kodekørsel, skrivning og læsning af filsystemet samt omgåelse af sikkerhedsfunktioner og eskalering af rettigheder.
Adobe er ikke bekendt med, at der skulle være exploits i omløb for nogen af de problemer, der behandles i disse opdateringer.
Berørte versioner
|
Produkt |
Opdateringsnummer |
Platform |
|
ColdFusion 2025 |
Opdatering 4 og tidligere versioner |
Alle |
|
ColdFusion 2023 |
Opdatering 16 og tidligere versioner |
Alle |
|
ColdFusion 2021 |
Opdatering 22 og tidligere versioner |
Alle |
Løsning
Adobe kategoriserer disse opdateringer med følgende prioritetsgrader og anbefaler, at brugere opdaterer deres installationer til de nyeste versioner:
|
Produkt |
Opdateret version |
Platform |
Prioritetsgrad |
Tilgængelighed |
|---|---|---|---|---|
|
ColdFusion 2025 |
Opdatering 5 |
Alle |
1 |
|
|
ColdFusion 2023 |
Opdatering 17 |
Alle |
1 |
|
|
ColdFusion 2021 |
Opdatering 23 |
Alle |
1 |
Bemærk:
Af sikkerhedsmæssige årsager anbefaler vi på det kraftigste at bruge den nyeste mysql java connector. Læs mere på: https://helpx.adobe.com/coldfusion/kb/coldfusion-configuring-mysql-jdbc.html
Se den opdaterede dokumentation til det serielle filter for at få flere oplysninger om beskyttelse mod usikre deserialiseringsangreb: https://helpx.adobe.com/coldfusion/kb/coldfusion-serialfilter-file.html
Sikkerhedsoplysninger
|
Sikkerhedskategori |
Virkning af sikkerhedsproblem |
Alvorlighed |
CVSS-basisscore |
CVE-numre |
|
|
Ubegrænset upload af fil med farlig type (CWE-434)
|
Vilkårlig kodekørsel |
Kritisk |
9.1 |
|
CVE-2025-61808 |
|
Ukorrekt input-validering (CWE-20) |
Sikkerhedsomgåelse |
Kritisk |
9.1 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N |
CVE-2025-61809 |
|
Deserialisering af data, der ikke er tillid til (CWE-502) |
Vilkårlig kodekørsel |
Kritisk |
8.4 |
CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:H/I:H/A:H |
CVE-2025-61830 |
|
Deserialisering af data, der ikke er tillid til (CWE-502) |
Vilkårlig kodekørsel |
Kritisk |
8.2 |
CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:H/I:H/A:H |
CVE-2025-61810 |
|
Ukorrekt adgangskontrol (CWE-284) |
Vilkårlig kodekørsel |
Kritisk |
8.4 |
CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:H/I:H/A:H |
CVE-2025-61811 |
|
Ukorrekt input-validering (CWE-20) |
Vilkårlig kodekørsel |
Kritisk |
8.4 |
CVSS:3.1/AV:A/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H |
CVE-2025-61812 |
|
Ukorrekt begrænsning af XXE (XML External Entity) (CWE-611) |
Vilkårlig filsystem-læsning |
Kritisk |
8.2 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:N/A:L |
CVE-2025-61813 |
|
Ukorrekt begrænsning af XXE (XML External Entity) (CWE-611) |
Vilkårlig filsystem-læsning |
Vigtig |
6.8 |
|
CVE-2025-61821 |
|
Ukorrekt input-validering (CWE-20) |
Vilkårlig filsystem-skrivning |
Vigtig |
6.2 |
CVSS:3.1/AV:A/AC:L/PR:H/UI:N/S:C/C:N/I:H/A:N |
CVE-2025-61822 |
|
Ukorrekt begrænsning af XXE (XML External Entity) (CWE-611) |
Vilkårlig filsystem-læsning |
Vigtigt |
6.2 |
CVSS:3.1/AV:A/AC:L/PR:H/UI:N/S:C/C:N/I:H/A:N |
Vigtig CVE-2025-61823 |
|
Ukorrekt adgangskontrol (CWE-284) |
Eskalering af rettigheder |
Vigtig |
5.6 |
CVSS:3.1/AV:L/AC:L/PR:L/UI:R/S:U/C:N/I:L/A:H
|
CVE-2025-64897 |
|
Utilstrækkeligt beskyttelse af legitimationsoplysninger (CWE-522) |
Eskalering af rettigheder |
Vigtig |
4.3 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N |
CVE-2025-64898 |
Tak til følgende personer:
Adobe vil gerne takke følgende personer for at rapportere dette sikkerhedsproblem til os, så vi bedre kan beskytte vores brugere:
- Brian Reilly (reillyb) -- CVE-2025-61808, CVE-2025-61809
- Nhien Pham (nhienit2010) -- CVE-2025-61812, CVE-2025-61822, CVE-2025-61823
- nbxiglk -- CVE-2025-61810, CVE-2025-61811, CVE-2025-61813, CVE-2025-61821, CVE-2025-61830
- Karol Mazurek (cr1m5on) -- CVE-2025-64897
- bytehacker_sg --CVE-2025-64898
BEMÆRK: Adobe og HackerOne har indgået et samarbejde til rapportering af programfejl. Hvis du er interesseret i at arbejde med Adobe som ekstern sikkerhedsforsker, kan du tjekke os ud på: https://hackerone.com/adobe
Bemærk:
Adobe anbefaler, at du som en sikkerhedsforanstaltning opdaterer din ColdFusion JDK/JRE LTS-version til den senest opdaterede version. ColdFusion-downloadsiden opdateres regelmæssigt for at inkludere de nyeste Java-installationsprogrammer til den JDK-version, som din installation understøtter i henhold til nedenstående skemaer.
Se Skift ColdFusion JVM for at få instruktioner om, hvordan du bruger en ekstern JDK.
Adobe anbefaler også anvendelsen af konfigurationsindstillingerne inkluderet i ColdFusion-sikkerhedsdokumentationen samt at du gennemgår de relevante nedlukningsvejledninger.
ColdFusion JDK-krav
COLDFUSION 2025 (version 2023.0.0.331385) og nyere
For applikationsservere
På JEE-installationer skal du indstille følgende JVM-flag, "-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**; !com.mysql.cj.jdbc.interceptors.**;!org.apache.commons.collections.**; " i den respektive opstartsfil afhængigt af, hvilken type applikationsserver der bruges.
Eksempel:
Apache Tomcat-applikationsserver: Rediger JAVA_OPTS i filen "Catalina.bat/sh"
WebLogic-applikationsserver: Rediger JAVA_OPTIONS i filen "startWeblogic.cmd"
WildFly/EAP-applikationsserver: Rediger JAVA_OPTS i filen "standalone.conf"
JVM-flag skal kun anvendes ved en JEE-installation af ColdFusion, ikke ved en enkeltstående installation.
COLDFUSION 2023 (version 2023.0.0.330468) og nyere
For applikationsservere
På JEE-installationer skal du indstille følgende JVM-flag, "-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**; !com.mysql.cj.jdbc.interceptors.**;!org.apache.commons.collections.**; " i den respektive opstartsfil afhængigt af, hvilken type applikationsserver der bruges.
Eksempel:
Apache Tomcat-applikationsserver: Rediger JAVA_OPTS i filen "Catalina.bat/sh"
WebLogic-applikationsserver: Rediger JAVA_OPTIONS i filen "startWeblogic.cmd"
WildFly/EAP-applikationsserver: Rediger JAVA_OPTS i filen "standalone.conf"
JVM-flag skal kun anvendes ved en JEE-installation af ColdFusion, ikke ved en enkeltstående installation.
COLDFUSION 2021 (version 2021.0.0.323925) og nyere
For applikationsservere
På JEE-installationer skal du indstille følgende JVM-flag: "-Djdk.serialFilter= !.org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**; !com.mysql.cj.jdbc.interceptors.**;!org.apache.commons.collections.**;"
i den respektive startfil afhængigt af den anvendte type applikationsserver.
Eksempel:
På en Apache Tomcat-applikationsserver: redigér JAVA_OPTS i filen ‘Catalina.bat/sh’
På en WebLogic-applikationsserver: redigér JAVA_OPTIONS i filen ‘startWeblogic.cmd’
På en WildFly/EAP-applikationsserver: redigér JAVA_OPTS i filen ‘standalone.conf’
Hejs JVM-flagene på en JEE-installation af ColdFusion, ikke på en enkeltstående installation.
Du kan få yderligere oplysninger på https://helpx.adobe.com/dk/security.html eller ved at skrive til PSIRT@adobe.com
