Bulletin-id
Laatst bijgewerkt op
15 jan. 2026
Beveiligingsupdates beschikbaar voor Adobe ColdFusion | APSB26-12
|
|
Publicatiedatum |
Prioriteit |
|
APSB26-12 |
13 januari 2026 |
1 |
Samenvatting
Adobe heeft beveiligingsupdates uitgebracht voor ColdFusion versies 2025 en 2023. Deze afhankelijkheidsupdate lost een kritiek beveiligingslek op dat kan leiden tot willekeurige code-uitvoering.
Van toepassing op de volgende versies
|
Product |
Nummer update |
Platform |
|
ColdFusion 2025 |
Update 5 en eerdere versies |
Alle |
|
ColdFusion 2023 |
Update 17 en eerdere versies |
Alle |
Oplossing
Adobe heeft aan deze updates de onderstaande prioriteit toegekend en raadt gebruikers aan hun installaties bij te werken naar de meest recente versies:
|
Product |
Bijgewerkte versie |
Platform |
Prioriteitsbeoordeling |
Beschikbaarheid |
|---|---|---|---|---|
|
ColdFusion 2025 |
Update 6 |
Alle |
1 |
|
|
ColdFusion 2023 |
Update 18 |
Alle |
1 |
Opmerking:
Om veiligheidsredenen raden we u ten zeerste aan om de nieuwste mysql java-connector te gebruiken. Voor meer informatie over het gebruik, raadpleeg: https://helpx.adobe.com/coldfusion/kb/coldfusion-configuring-mysql-jdbc.html
Zie de bijgewerkte documentatie voor seriële filter voor meer details over bescherming tegen onveilige deserialisatie-aanvallen: https://helpx.adobe.com/coldfusion/kb/coldfusion-serialfilter-file.html
Bijwerken naar afhankelijkheden
|
CVE-nummer |
Afhankelijkheid |
Impact van kwetsbaarheid |
Van toepassing op de volgende versies |
|
CVE-2025-66516 |
Apache Tika |
Uitvoering van willekeurige code |
Update 5 en eerder Update 17 en eerder |
Voor meer informatie, zie: https://lists.apache.org/thread/s5x3k93nhbkqzztp1olxotoyjpdlps9k
Dankbetuigingen:
Adobe bedankt de volgende onderzoekers voor het melden van dit probleem en voor de samenwerking met Adobe om onze klanten te helpen beschermen:
- Brian Reilly (reillyb) -- CVE-2025-61808, CVE-2025-61809
- Nhien Pham (nhienit2010) -- CVE-2025-61812, CVE-2025-61822, CVE-2025-61823
- nbxiglk -- CVE-2025-61810, CVE-2025-61811, CVE-2025-61813, CVE-2025-61821, CVE-2025-61830
- Karol Mazurek (cr1m5on) -- CVE-2025-64897
- bytehacker_sg -- CVE-2025-64898
OPMERKING: Adobe heeft een openbaar bug bounty-programma met HackerOne. Als u geïnteresseerd bent in een samenwerking met Adobe als externe beveiligingsonderzoeker, kijk dan hier: https://hackerone.com/adobe
Opmerking:
Adobe raadt u aan uw ColdFusion JDK/JRE LTS-versie te updaten naar de nieuwste updaterelease, als onderdeel van uw beveiligingsmaatregelen. De ColdFusion-downloadpagina wordt regelmatig bijgewerkt met de nieuwste Java-installatieprogramma's voor de JDK-versie die uw installatie ondersteunt volgens de onderstaande matrices.
Zie ColdFusion JVM wijzigen voor instructies over het gebruik van een externe JDK.
Adobe raadt klanten ook aan om de instellingen van de beveiligingsconfiguratie toe te passen, zoals beschreven in de ColdFusion Security-documentatie, en om de bijbehorende handleidingen voor lockdown te bekijken.
Vereiste voor ColdFusion JDK
COLDFUSION 2025 (versie 2023.0.0.331385) en hoger
Voor Application Servers
Bij JEE-installaties stel je de volgende JVM-markering in: "-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**; !com.mysql.cj.jdbc.interceptors.**;!org.apache.commons.collections.**; " in het betreffende opstartbestand, afhankelijk van het type Application Server dat wordt gebruikt.
Bijvoorbeeld:
Apache Tomcat Application Server: bewerk JAVA_OPTS in het 'Catalina.bat/sh'-bestand
WebLogic Application Server: bewerk JAVA_OPTIONS in het 'startWeblogic.cmd'-bestand
WildFly/EAP Application Server: bewerk JAVA_OPTS in het 'standalone.conf'-bestand
Stel de JVM-markeringen in op een JEE-installatie van ColdFusion, niet op een standalone installatie.
COLDFUSION 2023 (versie 2023.0.0.330468) en hoger
Voor Application Servers
Bij JEE-installaties stel je de volgende JVM-markering in: "-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**; !com.mysql.cj.jdbc.interceptors.**;!org.apache.commons.collections.**;" in het betreffende opstartbestand, afhankelijk van het type Application Server dat wordt gebruikt.
Bijvoorbeeld:
Apache Tomcat Application Server: bewerk JAVA_OPTS in het 'Catalina.bat/sh'-bestand
WebLogic Application Server: bewerk JAVA_OPTIONS in het 'startWeblogic.cmd'-bestand
WildFly/EAP Application Server: bewerk JAVA_OPTS in het 'standalone.conf'-bestand
Stel de JVM-markeringen in op een JEE-installatie van ColdFusion, niet op een standalone installatie.
Ga voor meer informatie naar https://helpx.adobe.com/nl/security.html of stuur een e-mail naar PSIRT@adobe.com
