Bulletin-ID
Sist oppdatert
15. jan. 2026
Sikkerhetsoppdateringer tilgjengelig for Adobe ColdFusion | APSB26-12
|
|
Publiseringsdato |
Prioritet |
|
APSB26-12 |
13. januar 2026 |
1 |
Sammendrag
Adobe har utgitt sikkerhetsoppdateringer for ColdFusion versjon 2025 og 2023. Disse avhengighetsoppdateringene løser en kritisk sårbarhet som kan føre til vilkårlig kodekjøring.
Berørte versjoner
|
Produkt |
Oppdateringsnummer |
Plattform |
|
ColdFusion 2025 |
Oppdatering 5 og tidligere versjoner |
Alle |
|
ColdFusion 2023 |
Oppdatering 17 og tidligere versjoner |
Alle |
Løsning
Adobe kategoriserer disse oppdateringene med følgende prioritetsklassifisering og anbefaler at brukerne oppdaterer installasjonene til de nyeste versjonene:
|
Produkt |
Oppdatert versjon |
Plattform |
Prioritet Klassifisering |
Tilgjengelighet |
|---|---|---|---|---|
|
ColdFusion 2025 |
Oppdatering 6 |
Alle |
1 |
|
|
ColdFusion 2023 |
Oppdatering 18 |
Alle |
1 |
Merk:
Av sikkerhetsgrunner anbefaler vi på det sterkeste at du bruker den nyeste mysql java-kontakten. For mer informasjon om bruken, se: https://helpx.adobe.com/coldfusion/kb/coldfusion-configuring-mysql-jdbc.html
Se den oppdaterte dokumentasjonen for seriefilter for mer informasjon om beskyttelse mot usikre deserialiseringsangrep: https://helpx.adobe.com/coldfusion/kb/coldfusion-serialfilter-file.html
Oppdater til avhengigheter
|
CVE-nummer |
Avhengighet |
Sikkerhetsprobleminnvirkning |
Berørte versjoner |
|
CVE-2025-66516 |
Apache Tika |
Kjøring av vilkårlig kode |
Oppdatering 5 og tidligere Oppdatering 17 og tidligere |
For mer informasjon, se: https://lists.apache.org/thread/s5x3k93nhbkqzztp1olxotoyjpdlps9k
Anerkjennelser:
Adobe takker følgende forskere for at de rapporterte dette problemet og for at de samarbeider med Adobe for å hjelpe oss med å beskytte kundene våre:
- Brian Reilly (reillyb) -- CVE-2025-61808, CVE-2025-61809
- Nhien Pham (nhienit2010) -- CVE-2025-61812, CVE-2025-61822, CVE-2025-61823
- nbxiglk -- CVE-2025-61810, CVE-2025-61811, CVE-2025-61813, CVE-2025-61821, CVE-2025-61830
- Karol Mazurek (cr1m5on) -- CVE-2025-64897
- bytehacker_sg -- CVE-2025-64898
MERK: Adobe har et offentlig bug-bounty-program med HackerOne. Hvis du er interessert i å jobbe med Adobe som en ekstern sikkerhetsforsker, kan du sjekke ut https://hackerone.com/adobe
Merk:
Adobe anbefaler at du oppdaterer ColdFusion JDK/JRE LTS-versjonen til den nyeste oppdateringsutgivelsen som et sikkerhetstiltak. Nedlastingssiden ColdFusion oppdateres jevnlig for å inkludere de nyeste Java-installasjonsprogrammene for den JDK-versjonen som støttes av installasjonen, i henhold til matrisene nedenfor.
Du finner instruksjoner om hvordan du bruker et eksternt JDK under Endre ColdFusion JVM.
Adobe anbefaler også kunden å anvende innstillingene for sikkerhetskonfigurasjon som beskrevet i ColdFusion sikkerhetsdokumentasjon og se respektive veiledninger om låsing.
Krav for ColdFusion JDK
COLDFUSION 2025 (versjon 2023.0.0.331385) og nyere
For applikasjonsservere
På JEE-installasjoner setter du følgende JVM-flagg, "-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**; !com.mysql.cj.jdbc.interceptors.**;!org.apache.commons.collections.**; " i den respektive oppstartsfilen avhengig av hvilken type applikasjonsserver som brukes.
For eksempel:
Apache Tomcat Application Server: rediger JAVA_OPTS i 'Catalina.bat/sh'-filen
WebLogic Application Server: rediger JAVA_OPTIONS i 'startWeblogic.cmd'-filen
WildFly/EAP Application Server: rediger JAVA_OPTS i 'standalone.conf'-filen
Sett JVM-flaggene på en JEE-installasjon av ColdFusion, ikke på en frittstående installasjon.
COLDFUSION 2023 (versjon 2023.0.0.330468) og nyere
For applikasjonsservere
På JEE-installasjoner setter du følgende JVM-flagg, "-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**; !com.mysql.cj.jdbc.interceptors.**;!org.apache.commons.collections.**;" i den respektive oppstartsfilen avhengig av hvilken type applikasjonsserver som brukes.
For eksempel:
Apache Tomcat Application Server: rediger JAVA_OPTS i 'Catalina.bat/sh'-filen
WebLogic Application Server: rediger JAVA_OPTIONS i 'startWeblogic.cmd'-filen
WildFly/EAP Application Server: rediger JAVA_OPTS i 'standalone.conf'-filen
Sett JVM-flaggene på en JEE-installasjon av ColdFusion, ikke på en frittstående installasjon.
Hvis du vil ha mer informasjon, kan du se https://helpx.adobe.com/no/security.html eller sende en e-postmelding til PSIRT@adobe.com
