Adobe – sikkerhetsbulletin

Søk

Sist oppdatert 22. apr. 2026

Sikkerhetsoppdateringer tilgjengelig for Adobe ColdFusion | APSB26-38

Bulletin-ID	Publiseringsdato	Prioritet
APSB26-38	14. april 2026	1

Sammendrag

Adobe har gitt ut sikkerhetsoppdateringer for ColdFusion-versjonene 2025 og 2023. Disse oppdateringene løser kritiske og moderate sårbarheter som kan føre til vilkårlig kodekjøring, tjenestenekt for applikasjoner, vilkårlig lesing av filsystem og omgåelse av sikkerhetsfunksjoner.

 Adobe kjenner ikke til aktiv utnyttelse av noen av problemene som løses av disse oppdateringene.

Berørte versjoner

Produkt	Oppdateringsnummer	Plattform
ColdFusion 2025	Oppdatering 6 og tidligere versjoner	Alle
ColdFusion 2023	Oppdatering 18 og tidligere versjoner	Alle

Løsning

Adobe kategoriserer disse oppdateringene med følgende prioritetsklassifisering og anbefaler at brukerne oppdaterer installasjonene til de nyeste versjonene:

Produkt	Oppdatert versjon	Plattform	Prioritet Klassifisering	Tilgjengelighet
ColdFusion 2025	Oppdatering 7	Alle	1	Teknisk merknad
ColdFusion 2023	Oppdatering 19	Alle	1	Teknisk merknad

Merk:

Av sikkerhetsgrunner anbefaler vi på det sterkeste at du bruker den nyeste mysql java-kontakten. For mer informasjon om bruken, se: https://helpx.adobe.com/coldfusion/kb/coldfusion-configuring-mysql-jdbc.html

Se den oppdaterte dokumentasjonen for seriefilter for mer informasjon om beskyttelse mot usikre deserialiseringsangrep: https://helpx.adobe.com/coldfusion/kb/coldfusion-serialfilter-file.html

Informasjon om sikkerhetsproblemet

Sikkerhetsproblemkategori	Sikkerhetsprobleminnvirkning	Alvorlighetsgrad	CVSS-grunnscore	CVSS-vektor	CVE-numre
Feil begrensning av banekrysning til en begrenset katalog (Path Traversal) (CWE-22)	Omgåelse av sikkerhetsfunksjon	Kritisk	7.7	CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:N/I:N/A:H	CVE-2026-34619
Feil inndatavalidering (CWE-20)	Kjøring av vilkårlig kode	Kritisk	9,3	CVSS:3.1/AV:A/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:N	CVE-2026-27304
Feil begrensning av banekrysning til en begrenset katalog (Path Traversal) (CWE-22)	Vilkårlig lesing av filsystem	Kritisk	8.6	CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:N/A:N	CVE-2026-27305
Feil inndatavalidering (CWE-20)	Omgåelse av sikkerhetsfunksjon	Kritisk	7.5	CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N	CVE-2026-27282
Feil inndatavalidering (CWE-20)	Kjøring av vilkårlig kode	Kritisk	8.4	CVSS:3.1/AV:A/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H	CVE-2026-27306
Ukontrollert ressursforbruk (CWE-400)	Tjenestenekt for program	Moderat	2.4	CVSS:3.1/AV:A/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:L	CVE-2026-27307
Ukontrollert ressursforbruk (CWE-400)	Tjenestenekt for program	Moderat	2.4	CVSS:3.1/AV:A/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:L	CVE-2026-27308

Anerkjennelser:

Adobe takker følgende forskere for at de rapporterte dette problemet  og for at de samarbeider med Adobe for å hjelpe oss med å beskytte kundene våre:   

AnirudhAnand (a0xnirudh) -- CVE-2026-27304
nbxiglk -- CVE-2026-27306
Jonathan Lein of TrendAI Research -- CVE-2026-27282, CVE-2026-34619, CVE-2026-27305
Idris_Tester092004 (tester092004) -- CVE-2026-27307, CVE-2026-27308

MERK: Adobe har et offentlig bug-bounty-program med HackerOne. Hvis du er interessert i å jobbe med Adobe som en ekstern sikkerhetsforsker, kan du sjekke ut https://hackerone.com/adobe

Merk:

Adobe anbefaler at du oppdaterer ColdFusion JDK/JRE LTS-versjonen til den nyeste oppdateringsutgivelsen som et sikkerhetstiltak. Nedlastingssiden ColdFusion oppdateres jevnlig for å inkludere de nyeste Java-installasjonsprogrammene for den JDK-versjonen som støttes av installasjonen, i henhold til matrisene nedenfor.

Du finner instruksjoner om hvordan du bruker et eksternt JDK under Endre ColdFusion JVM.

Adobe anbefaler også kunden å anvende innstillingene for sikkerhetskonfigurasjon som beskrevet i ColdFusion sikkerhetsdokumentasjon og se respektive veiledninger om låsing.   

Krav for ColdFusion JDK

COLDFUSION 2025 (versjon 2023.0.0.331385) og høyere
For applikasjonsservere

på JEE-installasjoner angir du følgende JVM-flagg, “-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**; !com.mysql.cj.jdbc.interceptors.**;!org.apache.commons.collections.**; " i respektive oppstartsfil  avhengig av typen applikasjonsserver som brukes.

Eksempel:
Applikasjonsserveren Apache Tomcat: Rediger JAVA_OPTS i filen Catalina.bat/sh
WebLogic-applikasjonsserver: Rediger JAVA_OPTIONS i filen startWeblogic.cmd
Applikasjonsserveren WildFly/EAP: Rediger JAVA_OPTS i filen standalone.conf
Sett JVM-flaggene på en JEE-installasjon av ColdFusion, ikke på en frittstående installasjon.

COLDFUSION 2023 (versjon 2023.0.0.330468) og høyere
For applikasjonsservere

på JEE-installasjoner angir du følgende JVM-flagg, “-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**; !com.mysql.cj.jdbc.interceptors.**;!org.apache.commons.collections.**; " i respektive oppstartsfil  avhengig av typen applikasjonsserver som brukes.

COLDFUSION 2021 (Versjon 2021.0.0.323925) og nyere

For applikasjonsservere  

På JEE-installasjoner angir du følgende JVM-flagg, “-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**; !com.mysql.cj.jdbc.interceptors.**;!org.apache.commons.collections.**;"

i respektive oppstartsfil  avhengig av typen applikasjonsserver som brukes.

For eksempel:  

Apache Tomcat-applikasjonsserver: Rediger JAVA_OPTS i filen Catalina.bat/sh  

WebLogic-applikasjonsserver:  Rediger JAVA_OPTIONS i filen startWeblogic.cmd  

WildFly/EAP-applikasjonsserver:  Rediger JAVA_OPTS i filen standalone.conf  

Sett JVM-flaggene på en JEE-installasjon av ColdFusion, ikke på en frittstående installasjon.  

Hvis du vil ha mer informasjon, kan du se https://helpx.adobe.com/no/security.html eller sende en e-postmelding til PSIRT@adobe.com

Få hjelp raskere og enklere

Ny bruker?