Adobe sikkerhedsbulletin

Søg

Sidst opdateret den 24. apr. 2026

Sikkerhedsopdateringer tilgængelige til Adobe ColdFusion | APSB26-38

Bulletin-ID	Udgivelsesdato	Prioritet
APSB26-38	14. april 2026	1

Resumé

Adobe har frigivet sikkerhedsopdateringer til ColdFusion-udgaverne 2025 og 2023. Opdateringerne løser kritiske og moderate sikkerhedsproblemer, der kunne resultere i eksekvering af vilkårlig kode, denial-of-service af applikationer og omgåelse af sikkerhedsfunktioner.

 Adobe er ikke bekendt med, at der skulle være exploits i omløb for nogen af de problemer, der behandles i disse opdateringer.

Berørte versioner

Produkt	Opdateringsnummer	Platform
ColdFusion 2025	Opdatering 6 og tidligere versioner	Alle
ColdFusion 2023	Opdatering 18 og tidligere versioner	Alle

Løsning

Adobe kategoriserer disse opdateringer med følgende prioritetsgrader og anbefaler, at brugere opdaterer deres installationer til de nyeste versioner:

Produkt	Opdateret version	Platform	Prioritetsgrad	Tilgængelighed
ColdFusion 2025	Opdatering 7	Alle	1	Teknisk note
ColdFusion 2023	Opdatering 19	Alle	1	Teknisk note

Bemærk:

Af sikkerhedsmæssige årsager anbefaler vi på det kraftigste at bruge den nyeste mysql java connector. Læs mere på: https://helpx.adobe.com/dk/coldfusion/kb/coldfusion-configuring-mysql-jdbc.html

Se den opdaterede dokumentation til det serielle filter for at få flere oplysninger om beskyttelse mod usikre deserialiseringsangreb: https://helpx.adobe.com/dk/coldfusion/kb/coldfusion-serialfilter-file.html

Sikkerhedsoplysninger

Sikkerhedskategori	Virkning af sikkerhedsproblem	Alvorlighed	CVSS-basisscore	CVSS-vektor	CVE-numre
Ukorrekt begrænsning af et stinavn til et begrænset bibliotek ('stioverskridelse') (CWE-22)	Sikkerhedsomgåelse	Kritisk	7,7	CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:N/I:N/A:H	CVE-2026-34619
Ukorrekt input-validering (CWE-20)	Vilkårlig kodekørsel	Kritisk	9.3	CVSS:3.1/AV:A/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:N	CVE-2026-27304
Ukorrekt begrænsning af et stinavn til et begrænset bibliotek ('stioverskridelse') (CWE-22)	Vilkårlig filsystem-læsning	Kritisk	8.6	CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:N/A:N	CVE-2026-27305
Ukorrekt input-validering (CWE-20)	Sikkerhedsomgåelse	Kritisk	7.5	CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N	CVE-2026-27282
Ukorrekt input-validering (CWE-20)	Vilkårlig kodekørsel	Kritisk	8.4	CVSS:3.1/AV:A/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H	CVE-2026-27306
Ukontrolleret ressourceforbrug (CWE-400)	Denial-of-service for applikation	Moderat	2.4	CVSS:3.1/AV:A/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:L	CVE-2026-27307
Ukontrolleret ressourceforbrug (CWE-400)	Denial-of-service for applikation	Moderat	2.4	CVSS:3.1/AV:A/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:L	CVE-2026-27308

Tak til følgende personer:

Adobe vil gerne takke følgende personer for at rapportere dette sikkerhedsproblem til os, så vi bedre kan beskytte vores brugere:   

AnirudhAnand (a0xnirudh) -- CVE-2026-27304
nbxiglk -- CVE-2026-27306
Jonathan Lein fra TrendAI Research -- CVE-2026-27282, CVE-2026-34619, CVE-2026-27305
Idris_Tester092004 (tester092004) -- CVE-2026-27307, CVE-2026-27308

BEMÆRK: Adobe og HackerOne har indgået et samarbejde til rapportering af programfejl. Hvis du er interesseret i at arbejde med Adobe som ekstern sikkerhedsforsker, kan du tjekke os ud på: https://hackerone.com/adobe

Bemærk:

Adobe anbefaler, at du som en sikkerhedsforanstaltning opdaterer din ColdFusion JDK/JRE LTS-version til den senest opdaterede version. ColdFusion-downloadsiden opdateres regelmæssigt for at inkludere de nyeste Java-installationsprogrammer til den JDK-version, som din installation understøtter i henhold til nedenstående skemaer.

Se Skift ColdFusion JVM for at få instruktioner om, hvordan du bruger en ekstern JDK.

Adobe anbefaler også anvendelsen af konfigurationsindstillingerne inkluderet i ColdFusion-sikkerhedsdokumentationen samt at du gennemgår de relevante nedlukningsvejledninger.   

ColdFusion JDK-krav

COLDFUSION 2025 (version 2023.0.0.331385) og nyere
For applikationsservere

På JEE-installationer skal du indstille følgende JVM-flag, "-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**; !com.mysql.cj.jdbc.interceptors.**;!org.apache.commons.collections.**; " i den respektive opstartsfil afhængigt af, hvilken type applikationsserver der bruges.

Eksempel:
Apache Tomcat-applikationsserver: Rediger JAVA_OPTS i filen "Catalina.bat/sh"
WebLogic-applikationsserver: Rediger JAVA_OPTIONS i filen "startWeblogic.cmd"
WildFly/EAP-applikationsserver: Rediger JAVA_OPTS i filen "standalone.conf"
JVM-flag skal kun anvendes ved en JEE-installation af ColdFusion, ikke ved en enkeltstående installation.

COLDFUSION 2023 (version 2023.0.0.330468) og nyere
For applikationsservere

På JEE-installationer skal du indstille følgende JVM-flag, "-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**; !com.mysql.cj.jdbc.interceptors.**;!org.apache.commons.collections.**; " i den respektive opstartsfil afhængigt af, hvilken type applikationsserver der bruges.

COLDFUSION 2021 (version 2021.0.0.323925) og nyere

For applikationsservere  

På JEE-installationer skal du indstille følgende JVM-flag: "-Djdk.serialFilter= !.org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**; !com.mysql.cj.jdbc.interceptors.**;!org.apache.commons.collections.**;"

i den respektive startfil afhængigt af den anvendte type applikationsserver.

Eksempel:  

På en Apache Tomcat-applikationsserver: redigér JAVA_OPTS i filen ‘Catalina.bat/sh’  

På en WebLogic-applikationsserver: redigér JAVA_OPTIONS i filen ‘startWeblogic.cmd’  

På en WildFly/EAP-applikationsserver: redigér JAVA_OPTS i filen ‘standalone.conf’  

Hejs JVM-flagene på en JEE-installation af ColdFusion, ikke på en enkeltstående installation.  

Du kan få yderligere oplysninger på https://helpx.adobe.com/dk/security.html eller ved at skrive til PSIRT@adobe.com

Få hjælp hurtigere og nemmere

Ny bruger?