ID bollettino
Ultimo aggiornamento il
15 gen 2026
Aggiornamenti di sicurezza disponibili per Adobe ColdFusion | APSB26-12
|
|
Data di pubblicazione |
Priorità |
|
APSB26-12 |
13 gennaio 2026 |
1 |
Riepilogo
Adobe ha rilasciato aggiornamenti di sicurezza per le versioni 2025 e 2023 di ColdFusion. Questi aggiornamenti delle dipendenze risolvono una vulnerabilità critica che potrebbe portare all'esecuzione di codice arbitrario.
Versioni interessate
|
Prodotto |
Numero aggiornamento |
Piattaforma |
|
ColdFusion 2025 |
Aggiornamento 5 e versioni precedenti |
Tutte |
|
ColdFusion 2023 |
Aggiornamento 17 e versioni precedenti |
Tutte |
Soluzione
Adobe classifica questi aggiornamenti in base ai seguenti livelli di priorità e consiglia agli utenti di aggiornare le proprie installazioni alle versioni più recenti:
|
Prodotto |
Versione aggiornata |
Piattaforma |
Livello di priorità |
Disponibilità |
|---|---|---|---|---|
|
ColdFusion 2025 |
Aggiornamento 6 |
Tutte |
1 |
|
|
ColdFusion 2023 |
Aggiornamento 18 |
Tutte |
1 |
Nota:
Per motivi di sicurezza, si consiglia vivamente di utilizzare il connettore mysql java più recente. Per ulteriori informazioni sul suo utilizzo, consulta: https://helpx.adobe.com/coldfusion/kb/coldfusion-configuring-mysql-jdbc.html
Consulta la documentazione aggiornata del filtro seriale per maggiori dettagli sulla protezione contro gli attacchi di deserializzazione non sicura: https://helpx.adobe.com/coldfusion/kb/coldfusion-serialfilter-file.html
Aggiornamento delle dipendenze
|
Codice CVE |
Dipendenza |
Impatto della vulnerabilità |
Versioni interessate |
|
CVE-2025-66516 |
Apache Tika |
Esecuzione di codice arbitrario |
Aggiornamento 5 e precedenti Aggiornamento 17 e precedenti |
Per ulteriori informazioni, consulta: https://lists.apache.org/thread/s5x3k93nhbkqzztp1olxotoyjpdlps9k
Ringraziamenti:
Adobe desidera ringraziare i seguenti ricercatori per la collaborazione e per aver segnalato i problemi specifici, contribuendo così a proteggere la sicurezza dei nostri clienti:
- Brian Reilly (reillyb) -- CVE-2025-61808, CVE-2025-61809
- Nhien Pham (nhienit2010) -- CVE-2025-61812, CVE-2025-61822, CVE-2025-61823
- nbxiglk -- CVE-2025-61810, CVE-2025-61811, CVE-2025-61813, CVE-2025-61821, CVE-2025-61830
- Karol Mazurek (cr1m5on) -- CVE-2025-64897
- bytehacker_sg -- CVE-2025-64898
NOTA: Adobe dispone di un programma di bug bounty con HackerOne. Se ti interessa lavorare con Adobe come ricercatore esterno sulla sicurezza, visita: https://hackerone.com/adobe
Nota:
Adobe consiglia di aggiornare ColdFusion JDK/JRE LTS alla versione di aggiornamento più recente per maggiore sicurezza. La pagina dei download di ColdFusion viene regolarmente aggiornata per includere i più recenti programmi di installazione Java per la versione JDK supportata dall’installazione, come da matrici riportate sotto.
Per istruzioni su come utilizzare un JDK esterno, consultare Modificare JVM di ColdFusion.
Adobe consiglia inoltre di applicare le impostazioni di configurazione della protezione descritte nella pagina sulla sicurezza di ColdFusion, nonché di consultare la relativa Guida alla protezione.
Requisiti JDK di ColdFusion
COLDFUSION 2025 (versione 2023.0.0.331385) e successive
Per Application Server
Nelle installazioni JEE, imposta il seguente contrassegno JVM, "-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**; !com.mysql.cj.jdbc.interceptors.**;!org.apache.commons.collections.**; " nel rispettivo file di avvio a seconda del tipo di Application Server utilizzato.
Ad esempio:
Apache Tomcat Application Server: modifica JAVA_OPTS nel file 'Catalina.bat/sh'
WebLogic Application Server: modifica JAVA_OPTIONS nel file 'startWeblogic.cmd'
WildFly/EAP Application Server: modifica JAVA_OPTS nel file 'standalone.conf'
Imposta i contrassegni JVM su un'installazione JEE di ColdFusion, non su un'installazione standalone.
COLDFUSION 2023 (versione 2023.0.0.330468) e successive
Per Application Server
Nelle installazioni JEE, imposta il seguente contrassegno JVM, "-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**; !com.mysql.cj.jdbc.interceptors.**;!org.apache.commons.collections.**;" nel rispettivo file di avvio a seconda del tipo di Application Server utilizzato.
Ad esempio:
Apache Tomcat Application Server: modifica JAVA_OPTS nel file 'Catalina.bat/sh'
WebLogic Application Server: modifica JAVA_OPTIONS nel file 'startWeblogic.cmd'
WildFly/EAP Application Server: modifica JAVA_OPTS nel file 'standalone.conf'
Imposta i contrassegni JVM su un'installazione JEE di ColdFusion, non su un'installazione standalone.
Per ulteriori informazioni visita https://helpx.adobe.com/it/security.html o invia un’e-mail a PSIRT@adobe.com
