Tiedotteen tunnus
Päivitetty viimeksi
17. kesäkuuta 2026
Adobe ColdFusionin tietoturvapäivitys | APSB26-64
|
|
Julkaisupäivä |
Prioriteetti |
|
APSB26-64 |
9.6.2026 |
1 |
Yhteenveto
Adobe on julkaissut tietoturvapäivityksiä ColdFusion-versioille 2025 ja 2023. Nämä päivitykset korjaavat kriittisiä ja tärkeitä haavoittuvuuksia, jotka voivat johtaa mielivaltaisen koodin suorittamiseen, käyttöoikeuksien laajennukseen, mielivaltaiseen järjestelmätiedostojen lukemiseen ja tietoturvaominaisuuksien ohitukseen.
Adobe ei ole tietoinen, että mitään näissä päivityksissä käsiteltyjä haavoittuvuuksia olisi hyödynnetty käytännössä.
Versiot
|
Tuote |
Päivityksen numero |
Ympäristö |
|
ColdFusion 2025 |
Päivitys 8 ja aiemmat versiot |
Kaikki |
|
ColdFusion 2023 |
Päivitys 19 ja aiemmat versiot |
Kaikki |
Ratkaisu
Adobe luokittelee päivitykset seuraavan prioriteettiluokituksen mukaisesti ja suosittelee käyttäjiä päivittämään asennuksensa uusimpaan versioon:
|
Tuote |
Päivitetty versio |
Ympäristö |
Prioriteettiluokitus |
Saatavuus |
|---|---|---|---|---|
|
ColdFusion 2025 |
Päivitys 9 |
Kaikki |
1 |
|
|
ColdFusion 2023 |
Päivitys 20 |
Kaikki |
1 |
Muistiinpano
Tietoturvasyistä suosittelemme vahvasti käyttämään uusinta mysql-java-liitintä. Lisätietoja sen käytöstä on osoitteessa osoitteessa: https://helpx.adobe.com/fi/coldfusion/kb/coldfusion-configuring-mysql-jdbc.html
Katso päivitetystä sarjasuodattimen dokumentaatiosta lisätietoja suojautumisesta suojaamattomia deserialisointihyökkäyksiä vastaan: https://helpx.adobe.com/fi/coldfusion/kb/coldfusion-serialfilter-file.html
Lisätietoja haavoittuvuuksista
| Haavoittuvuusluokka | Haavoittuvuuden vaikutus | Vakavuus | CVSS-peruspisteet | CVSS-vektori | CVE-numero |
| Virheellinen syötteen tarkistus (CWE-20) | Mielivaltaisen koodin suoritus | Kriittinen | 9.6 | CVSS:3.1/AV:A/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H | CVE-2026-47928 |
| Polun nimen virheellinen rajoittaminen kiellettyyn hakemistoon (”Polun vaihtuminen”) (CWE-22) | Tietoturvaominaisuuden ohitus | Kriittinen | 8.8 | CVSS:3.1/AV:A/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H | CVE-2026-47932 |
| Virheellinen valtuutus (CWE-863) | Käyttöoikeuksien laajennus | Kriittinen | 8.4 | CVSS:3.1/AV:A/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H | CVE-2026-47929 |
| Virheellinen syötteen tarkistus (CWE-20) | Mielivaltaisen koodin suoritus | Kriittinen | 8.4 | CVSS:3.1/AV:A/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H | CVE-2026-47931 |
| Virheellinen syötteen tarkistus (CWE-20) | Mielivaltaisen koodin suoritus | Kriittinen | 8.1 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N | CVE-2026-47930 |
| Sopimaton XML:n ulkoisen kohteen viitteen rajoitus (XXE) (CWE-611) | Mielivaltainen tiedostojärjestelmän luku | Kriittinen | 7.4 | CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:N/A:N | CVE-2026-47960 |
| Sivustojen välinen skriptaus (tallennettu XSS) (CWE-79) | Mielivaltaisen koodin suoritus | Tärkeä | 4.8 | CVSS:3.1/AV:A/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2026-47933 |
Kiitokset:
Adobe haluaa kiittää seuraavia tutkijoita tästä ongelmasta ilmoittamisesta ja yhteistyöstä Adoben kanssa sen asiakkaiden suojaamisessa:
- AnirudhAnand (a0xnirudh) - CVE-2026-47928, CVE-2026-47932, CVE-2026-47933
- Sneharghya (sneharghyaroy) - CVE-2026-47929
- Nbxiglk - CVE-2026-47931, CVE-2026-47960
- Sapra - CVE-2026-47930
HUOMAUTUS: Adobella on HackerOnessa julkinen buginmetsästysohjelma. Jos olet kiinnostunut työskentelemään Adoben kanssa ulkopuolisena tietoturvatutkijana, tutustu ohjelmaan täällä: https://hackerone.com/adobe.
Muistiinpano
Adobe suosittelee tietoturvatoimena ColdFusion JDK/JRE LTS -version päivittämistä uusimpaan päivitysversioon. ColdFusionin lataussivu päivitetään säännöllisesti siten, että se sisältää uusimmat Java-asennusohjelmat asennuksesi tukemaa JDK-versiota varten alla olevien taulukoiden mukaisesti.
Ulkoisen JDK:n käyttöä koskevia ohjeita on artikkelissa ColdFusionin JVM:n vaihto.
Adobe suosittelee myös, että kaikki ottavat käyttöön ColdFusionin tietoturvadokumentaatiossa esitellyt tietoturva-asetukset ja tutustuvat vastaaviin lukitusoppaisiin.
ColdFusion JDK -vaatimus
COLDFUSION 2025 (versio 2023.0.0.331385) ja uudemmat
Sovelluspalvelimia varten
EE-asennuksissa aseta seuraava JVM-lippu: ”-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**; !com.mysql.cj.jdbc.interceptors.**;!org.apache.commons.collections.**; ” vastaavassa käynnistystiedostossa käytetyn sovelluspalvelimen tyypin mukaan.
Esimerkiksi:
Apache Tomcat -sovelluspalvelin: muokkaa kohdetta JAVA_OPTS tiedostossa ”Catalina.bat/sh”
WebLogic-sovelluspalvelin: muokkaa kohdetta JAVA_OPTIONS tiedostossa ”startWeblogic.cmd”
WildFly/EAP-sovelluspalvelin: muokkaa kohdetta JAVA_OPTS tiedostossa ”standalone.conf”
Aseta JVM-liput ColdFusionin JEE-asennuksessa, ei erillisasennuksessa.
COLDFUSION 2023 (versio 2023.0.0.330468) ja uudemmat
Sovelluspalvelimia varten
EE-asennuksissa aseta seuraava JVM-lippu: ”-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**; !com.mysql.cj.jdbc.interceptors.**;!org.apache.commons.collections.**;;” vastaavassa käynnistystiedostossa käytetyn sovelluspalvelimen tyypin mukaan.
Esimerkiksi:
Apache Tomcat -sovelluspalvelin: muokkaa kohdetta JAVA_OPTS tiedostossa ”Catalina.bat/sh”
WebLogic-sovelluspalvelin: muokkaa kohdetta JAVA_OPTIONS tiedostossa ”startWeblogic.cmd”
WildFly/EAP-sovelluspalvelin: muokkaa kohdetta JAVA_OPTS tiedostossa ”standalone.conf”
Aseta JVM-liput ColdFusionin JEE-asennuksessa, ei erillisasennuksessa.
COLDFUSION 2021 (versiot 2021.0.0.323925) ja uudemmat
Sovelluspalvelimia varten
JEE-asennuksissa aseta seuraava JVM-lippu: ”-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**; !com.mysql.cj.jdbc.interceptors.**;!org.apache.commons.collections.**;”
vastaavassa käynnistystiedostossa käytetyn sovelluspalvelimen tyypin mukaan.
Esimerkiksi:
Muokkaa Apache Tomcat -sovelluspalvelimella JAVA_OPTS-kohdetta ”Catalina.bat/sh”-tiedostossa
Muokkaa WebLogic-sovelluspalvelimella JAVA_OPTIONS-kohdetta ”startWeblogic.cmd”-tiedostossa
Muokkaa WildFly/EAP-sovelluspalvelimella JAVA_OPTS-kohdetta ”standalone.conf”-tiedostossa
Määritä JVM-liput ColdFusionin JEE-asennuksessa, mutta ei erillisasennuksessa.
Saat lisätietoja siirtymällä osoitteeseen https://helpx.adobe.com/fi/security.html tai lähettämällä sähköpostia osoitteeseen PSIRT@adobe.com
