ID bollettino
Ultimo aggiornamento il
16 dic 2025
Aggiornamenti di sicurezza disponibili per Adobe ColdFusion | APSB25-105
|
|
Data di pubblicazione |
Priorità |
|
APSB25-105 |
9 dicembre 2025 |
1 |
Riepilogo
Adobe ha rilasciato aggiornamenti di sicurezza per le versioni ColdFusion 2025, 2023 e 2021. Questi aggiornamenti risolvono vulnerabilità critiche e importanti che potrebbero portare a scrittura arbitraria del file system, lettura arbitraria del file system, esecuzione di codice arbitrario, bypass delle funzionalità di sicurezza ed escalation dei privilegi.
Adobe non è a conoscenza di exploit delle vulnerabilità oggetto di questi aggiornamenti.
Versioni interessate
|
Prodotto |
Numero aggiornamento |
Piattaforma |
|
ColdFusion 2025 |
Aggiornamento 4 e versioni precedenti |
Tutte |
|
ColdFusion 2023 |
Aggiorna 16 e versioni precedenti |
Tutte |
|
ColdFusion 2021 |
Aggiornamento 22 e versioni precedenti |
Tutte |
Soluzione
Adobe classifica questi aggiornamenti in base ai seguenti livelli di priorità e consiglia agli utenti di aggiornare le proprie installazioni alle versioni più recenti:
|
Prodotto |
Versione aggiornata |
Piattaforma |
Livello di priorità |
Disponibilità |
|---|---|---|---|---|
|
ColdFusion 2025 |
Aggiornamento 5 |
Tutte |
1 |
|
|
ColdFusion 2023 |
Aggiornamento 17 |
Tutte |
1 |
|
|
ColdFusion 2021 |
Aggiornamento 23 |
Tutte |
1 |
Nota:
Per motivi di sicurezza, si consiglia vivamente di utilizzare il connettore mysql java più recente. Per ulteriori informazioni sul suo utilizzo, consulta: https://helpx.adobe.com/coldfusion/kb/coldfusion-configuring-mysql-jdbc.html
Consulta la documentazione aggiornata del filtro seriale per maggiori dettagli sulla protezione contro gli attacchi di deserializzazione non sicura: https://helpx.adobe.com/coldfusion/kb/coldfusion-serialfilter-file.html
Dettagli della vulnerabilità
|
Categoria della vulnerabilità |
Impatto della vulnerabilità |
Gravità |
Punteggio base CVSS |
Codici CVE |
|
|
Caricamento non limitato di file con tipo pericoloso (CWE-434)
|
Esecuzione di codice arbitrario |
Critico |
9.1 |
|
CVE-2025-61808 |
|
Convalida dell’input non corretta (CWE-20) |
Aggiramento della funzione di sicurezza |
Critico |
9.1 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N |
CVE-2025-61809 |
|
Deserializzazione di dati non affidabili (CWE-502) |
Esecuzione di codice arbitrario |
Critico |
8.4 |
CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:H/I:H/A:H |
CVE-2025-61830 |
|
Deserializzazione di dati non affidabili (CWE-502) |
Esecuzione di codice arbitrario |
Critico |
8.2 |
CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:H/I:H/A:H |
CVE-2025-61810 |
|
Controllo di accesso non corretto (CWE-284) |
Esecuzione di codice arbitrario |
Critico |
8.4 |
CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:H/I:H/A:H |
CVE-2025-61811 |
|
Convalida dell’input non corretta (CWE-20) |
Esecuzione di codice arbitrario |
Critico |
8.4 |
CVSS:3.1/AV:A/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H |
CVE-2025-61812 |
|
Restrizione illecita del riferimento alle entità XML esterne (‘XXE’) (CWE-611) |
Lettura di file system arbitraria |
Critica |
8.2 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:N/A:L |
CVE-2025-61813 |
|
Restrizione illecita del riferimento alle entità XML esterne (‘XXE’) (CWE-611) |
Lettura di file system arbitraria |
Importante |
6.8 |
|
CVE-2025-61821 |
|
Convalida dell’input non corretta (CWE-20) |
Scrittura di file system arbitraria |
Importante |
6.2 |
CVSS:3.1/AV:A/AC:L/PR:H/UI:N/S:C/C:N/I:H/A:N |
CVE-2025-61822 |
|
Restrizione illecita del riferimento alle entità XML esterne (‘XXE’) (CWE-611) |
Lettura di file system arbitraria |
Importante |
6.2 |
CVSS:3.1/AV:A/AC:L/PR:H/UI:N/S:C/C:N/I:H/A:N |
Importante CVE-2025-61823 |
|
Controllo di accesso non corretto (CWE-284) |
Acquisizione di privilegi |
Importante |
5.6 |
CVSS:3.1/AV:L/AC:L/PR:L/UI:R/S:U/C:N/I:L/A:H
|
CVE-2025-64897 |
|
Credenziali non sufficientemente protette (CWE-522) |
Acquisizione di privilegi |
Importante |
4.3 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N |
CVE-2025-64898 |
Ringraziamenti:
Adobe desidera ringraziare i seguenti ricercatori per la collaborazione e per aver segnalato i problemi specifici, contribuendo così a proteggere la sicurezza dei nostri clienti:
- Brian Reilly (reillyb) -- CVE-2025-61808, CVE-2025-61809
- Nhien Pham (nhienit2010) -- CVE-2025-61812, CVE-2025-61822, CVE-2025-61823
- nbxiglk -- CVE-2025-61810, CVE-2025-61811, CVE-2025-61813, CVE-2025-61821, CVE-2025-61830
- Karol Mazurek (cr1m5on) -- CVE-2025-64897
- bytehacker_sg -- CVE-2025-64898
NOTA: Adobe dispone di un programma di bug bounty con HackerOne. Se ti interessa lavorare con Adobe come ricercatore esterno sulla sicurezza, visita: https://hackerone.com/adobe
Nota:
Adobe consiglia di aggiornare ColdFusion JDK/JRE LTS alla versione di aggiornamento più recente per maggiore sicurezza. La pagina dei download di ColdFusion viene regolarmente aggiornata per includere i più recenti programmi di installazione Java per la versione JDK supportata dall’installazione, come da matrici riportate sotto.
- Matrice di supporto ColdFusion 2025
- Matrice di supporto ColdFusion 2023
- Matrice di supporto ColdFusion 2021
Per istruzioni su come utilizzare un JDK esterno, consultare Modificare JVM di ColdFusion.
Adobe consiglia inoltre di applicare le impostazioni di configurazione della protezione descritte nella pagina sulla sicurezza di ColdFusion, nonché di consultare la relativa Guida alla protezione.
Requisiti JDK di ColdFusion
COLDFUSION 2025 (versione 2023.0.0.331385) e superiori
Per il server applicazioni
Sulle installazioni di JEE, imposta il seguente flag JVM, “-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**; !com.mysql.cj.jdbc.interceptors.**;!org.apache.commons.collections.**; " nel rispettivo file di avvio a seconda del tipo di Application Server usato.
Ad esempio:
Server applicazioni Apache Tomcat: modifica JAVA_OPTS nel file ‘Catalina.bat/sh’
Server applicazioni WebLogic: modifica JAVA_OPTIONS nel file ‘startWeblogic.cmd’
Server applicazioni WildFly/EAP: modifica JAVA_OPTS nel file ‘standalone.conf’
Imposta i flag JVM su un’installazione JEE di ColdFusion, non un’installazione standalone.
COLDFUSION 2023 (versione 2023.0.0.330468.331385) e superiori
Per il server applicazioni
Sulle installazioni di JEE, imposta il seguente flag JVM, “-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**; !com.mysql.cj.jdbc.interceptors.**;!org.apache.commons.collections.**; " nel rispettivo file di avvio a seconda del tipo di Application Server usato.
Ad esempio:
Server applicazioni Apache Tomcat: modifica JAVA_OPTS nel file ‘Catalina.bat/sh’
Server applicazioni WebLogic: modifica JAVA_OPTIONS nel file ‘startWeblogic.cmd’
Server applicazioni WildFly/EAP: modifica JAVA_OPTS nel file ‘standalone.conf’
Imposta i flag JVM su un’installazione JEE di ColdFusion, non un’installazione standalone.
COLDFUSION 2021 (versione 2021.0.0.323925) e versioni successive
Per i server di applicazioni
Sulle installazioni JEE, inserisci il seguente flag JVM, "-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**; !com.mysql.cj.jdbc.interceptors.**;!org.apache.commons.collections.**;"
nel relativo file di avvio in base al tipo di server applicazioni in uso.
Ad esempio:
Server applicazioni Apache Tomcat, modifica JAVA_OPTS nel file 'Catalina.bat/sh'
Server applicazioni WebLogic: modifica JAVA_OPTIONS nel file 'startWeblogic.cmd'
Server applicazioni WildFly/EAP: modifica JAVA_OPTS nel file 'standalone.conf'
Imposta i flag JVM su una installazione JEE di ColdFusion, non una installazione standalone.
Per ulteriori informazioni visita https://helpx.adobe.com/it/security.html o invia un’e-mail a PSIRT@adobe.com
