Tiedotteen tunnus
Päivitetty viimeksi
18. joulukuuta 2025
Tietoturvapäivityksiä saatavilla Adobe ColdFusionille | APSB25-105
|
|
Julkaisupäivä |
Prioriteetti |
|
APSB25-105 |
9. joulukuuta 2025 |
1 |
Yhteenveto
Adobe on julkaissut tietoturvapäivityksiä ColdFusion-versioille 2025, 2023 ja 2021. Päivitykset korjaavat kriittisiä ja tärkeitä haavoittuvuuksia, jotka voivat johtaa mielivaltaiseen tiedostojärjestelmän kirjoitukseen, mielivaltaisen tiedostojärjestelmän lukuun, mielivaltaiseen koodin suorittamiseen, tietoturvatoimintojen ohittamiseen ja käyttöoikeuksien laajennukseen.
Adobe ei ole tietoinen, että mitään näissä päivityksissä käsiteltyjä haavoittuvuuksia olisi hyödynnetty käytännössä.
Versiot
|
Tuote |
Päivityksen numero |
Ympäristö |
|
ColdFusion 2025 |
Päivitys 4 ja aiemmat versiot |
Kaikki |
|
ColdFusion 2023 |
Päivitys 16 ja aiemmat versiot |
Kaikki |
|
ColdFusion 2021 |
Päivitys 22 ja aiemmat versiot |
Kaikki |
Ratkaisu
Adobe luokittelee päivitykset seuraavan prioriteettiluokituksen mukaisesti ja suosittelee käyttäjiä päivittämään asennuksensa uusimpaan versioon:
|
Tuote |
Päivitetty versio |
Ympäristö |
Prioriteettiluokitus |
Saatavuus |
|---|---|---|---|---|
|
ColdFusion 2025 |
Päivitys 5 |
Kaikki |
1 |
|
|
ColdFusion 2023 |
Päivitys 17 |
Kaikki |
1 |
|
|
ColdFusion 2021 |
Päivitys 23 |
Kaikki |
1 |
Huomautus:
Tietoturvasyistä suosittelemme vahvasti käyttämään uusinta mysql-java-liitintä. Lisätietoja sen käytöstä on osoitteessa osoitteessa: https://helpx.adobe.com/coldfusion/kb/coldfusion-configuring-mysql-jdbc.html
Katso päivitetystä sarjasuodattimen dokumentaatiosta lisätietoja suojautumisesta suojaamattomia deserialisointihyökkäyksiä vastaan: https://helpx.adobe.com/coldfusion/kb/coldfusion-serialfilter-file.html
Lisätietoja haavoittuvuuksista
|
Haavoittuvuusluokka |
Haavoittuvuuden vaikutus |
Vakavuus |
CVSS-peruspisteet |
CVE-numerot |
|
|
Vaarallisen tyyppisen tiedoston rajoittamaton lataaminen (CWE-434)
|
Mielivaltaisen koodin suoritus |
Kriittinen |
9.1 |
|
CVE-2025-61808 |
|
Virheellinen syötteen tarkistus (CWE-20) |
Tietoturvaominaisuuden ohitus |
Kriittinen |
9.1 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N |
CVE-2025-61809 |
|
Ei-luotettavien tietojen sarjoituksen purkaminen (CWE-502) |
Mielivaltaisen koodin suoritus |
Kriittinen |
8.4 |
CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:H/I:H/A:H |
CVE-2025-61830 |
|
Ei-luotettavien tietojen sarjoituksen purkaminen (CWE-502) |
Mielivaltaisen koodin suoritus |
Kriittinen |
8.2 |
CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:H/I:H/A:H |
CVE-2025-61810 |
|
Sopimaton käyttöoikeuksien valvonta (CWE-284) |
Mielivaltaisen koodin suoritus |
Kriittinen |
8.4 |
CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:H/I:H/A:H |
CVE-2025-61811 |
|
Virheellinen syötteen tarkistus (CWE-20) |
Mielivaltaisen koodin suoritus |
Kriittinen |
8.4 |
CVSS:3.1/AV:A/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H |
CVE-2025-61812 |
|
Sopimaton XML:n ulkoisen kohteen viitteen rajoitus (XXE) (CWE-611) |
Mielivaltainen tiedostojärjestelmän luku |
Kriittinen |
8.2 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:N/A:L |
CVE-2025-61813 |
|
Sopimaton XML:n ulkoisen kohteen viitteen rajoitus (XXE) (CWE-611) |
Mielivaltainen tiedostojärjestelmän luku |
Tärkeä |
6.8 |
|
CVE-2025-61821 |
|
Virheellinen syötteen tarkistus (CWE-20) |
Mielivaltainen tiedostojärjestelmään kirjoitus |
Tärkeä |
6.2 |
CVSS:3.1/AV:A/AC:L/PR:H/UI:N/S:C/C:N/I:H/A:N |
CVE-2025-61822 |
|
Sopimaton XML:n ulkoisen kohteen viitteen rajoitus (XXE) (CWE-611) |
Mielivaltainen tiedostojärjestelmän luku |
Tärkeä |
6.2 |
CVSS:3.1/AV:A/AC:L/PR:H/UI:N/S:C/C:N/I:H/A:N |
Tärkeä CVE-2025-61823 |
|
Sopimaton käyttöoikeuksien valvonta (CWE-284) |
Käyttöoikeuksien laajennus |
Tärkeä |
5.6 |
CVSS:3.1/AV:L/AC:L/PR:L/UI:R/S:U/C:N/I:L/A:H
|
CVE-2025-64897 |
|
Riittämättömästi suojatut tunnistetiedot (CWE-522) |
Käyttöoikeuksien laajennus |
Tärkeä |
4.3 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N |
CVE-2025-64898 |
Kiitokset:
Adobe haluaa kiittää seuraavia tutkijoita tästä ongelmasta ilmoittamisesta ja yhteistyöstä Adoben kanssa sen asiakkaiden suojaamisessa:
- Brian Reilly (reillyb) -- CVE-2025-61808, CVE-2025-61809
- Nhien Pham (nhienit2010) -- CVE-2025-61812, CVE-2025-61822, CVE-2025-61823
- nbxiglk -- CVE-2025-61810, CVE-2025-61811, CVE-2025-61813, CVE-2025-61821, CVE-2025-61830
- Karol Mazurek (cr1m5on) -- CVE-2025-64897
- bytehacker_sg --CVE-2025-64898
HUOMAUTUS: Adobella on HackerOnessa julkinen buginmetsästysohjelma. Jos olet kiinnostunut työskentelemään Adoben kanssa ulkopuolisena tietoturvatutkijana, tutustu ohjelmaan täällä: https://hackerone.com/adobe.
Huomautus:
Adobe suosittelee tietoturvatoimena ColdFusion JDK/JRE LTS -version päivittämistä uusimpaan päivitysversioon. ColdFusionin lataussivu päivitetään säännöllisesti siten, että se sisältää uusimmat Java-asennusohjelmat asennuksesi tukemaa JDK-versiota varten alla olevien taulukoiden mukaisesti.
Ulkoisen JDK:n käyttöä koskevia ohjeita on artikkelissa ColdFusionin JVM:n vaihto.
Adobe suosittelee myös, että kaikki ottavat käyttöön ColdFusionin tietoturvadokumentaatiossa esitellyt tietoturva-asetukset ja tutustuvat vastaaviin lukitusoppaisiin.
ColdFusion JDK -vaatimus
COLDFUSION 2025 (versio 2023.0.0.331385) ja uudemmat
Sovelluspalvelimia varten
EE-asennuksissa aseta seuraava JVM-lippu: ”-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**; !com.mysql.cj.jdbc.interceptors.**;!org.apache.commons.collections.**; ” vastaavassa käynnistystiedostossa käytetyn sovelluspalvelimen tyypin mukaan.
Esimerkiksi:
Apache Tomcat -sovelluspalvelin: muokkaa kohdetta JAVA_OPTS tiedostossa ”Catalina.bat/sh”
WebLogic-sovelluspalvelin: muokkaa kohdetta JAVA_OPTIONS tiedostossa ”startWeblogic.cmd”
WildFly/EAP-sovelluspalvelin: muokkaa kohdetta JAVA_OPTS tiedostossa ”standalone.conf”
Aseta JVM-liput ColdFusionin JEE-asennuksessa, ei erillisasennuksessa.
COLDFUSION 2023 (versio 2023.0.0.330468) ja uudemmat
Sovelluspalvelimia varten
EE-asennuksissa aseta seuraava JVM-lippu: ”-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**; !com.mysql.cj.jdbc.interceptors.**;!org.apache.commons.collections.**;;” vastaavassa käynnistystiedostossa käytetyn sovelluspalvelimen tyypin mukaan.
Esimerkiksi:
Apache Tomcat -sovelluspalvelin: muokkaa kohdetta JAVA_OPTS tiedostossa ”Catalina.bat/sh”
WebLogic-sovelluspalvelin: muokkaa kohdetta JAVA_OPTIONS tiedostossa ”startWeblogic.cmd”
WildFly/EAP-sovelluspalvelin: muokkaa kohdetta JAVA_OPTS tiedostossa ”standalone.conf”
Aseta JVM-liput ColdFusionin JEE-asennuksessa, ei erillisasennuksessa.
COLDFUSION 2021 (versiot 2021.0.0.323925) ja uudemmat
Sovelluspalvelimia varten
JEE-asennuksissa aseta seuraava JVM-lippu: ”-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**; !com.mysql.cj.jdbc.interceptors.**;!org.apache.commons.collections.**;”
vastaavassa käynnistystiedostossa käytetyn sovelluspalvelimen tyypin mukaan.
Esimerkiksi:
Muokkaa Apache Tomcat -sovelluspalvelimella JAVA_OPTS-kohdetta ”Catalina.bat/sh”-tiedostossa
Muokkaa WebLogic-sovelluspalvelimella JAVA_OPTIONS-kohdetta ”startWeblogic.cmd”-tiedostossa
Muokkaa WildFly/EAP-sovelluspalvelimella JAVA_OPTS-kohdetta ”standalone.conf”-tiedostossa
Määritä JVM-liput ColdFusionin JEE-asennuksessa, mutta ei erillisasennuksessa.
Saat lisätietoja siirtymällä osoitteeseen https://helpx.adobe.com/fi/security.html tai lähettämällä sähköpostia osoitteeseen PSIRT@adobe.com
