Adobe – sikkerhetsbulletin

Sikkerhetsoppdatering tilgjengelig for Adobe ColdFusion | APSB26-68

Bulletin-ID

Publiseringsdato

Prioritet

APSB26-68

30. juni 2026

1

Sammendrag

Adobe har utgitt sikkerhetsoppdateringer for ColdFusion versjon 2025 og 2023. Disse oppdateringene løser kritiske og viktige sårbarheter som kan føre til vilkårlig kodekjøring, privilegieeskalering, vilkårlig filsystemlesing og omgåelse av sikkerhetsfunksjoner.

 Adobe kjenner ikke til aktiv utnyttelse av noen av problemene som løses av disse oppdateringene.

Berørte versjoner

Produkt

Oppdateringsnummer

Plattform

ColdFusion 2025

Oppdatering 9 og tidligere versjoner

Alle

ColdFusion 2023

Oppdatering 20 og tidligere versjoner

Alle

Løsning

Adobe kategoriserer disse oppdateringene med følgende prioritetsklassifisering og anbefaler at brukerne oppdaterer installasjonene til de nyeste versjonene:

Produkt

Oppdatert versjon

Plattform

Prioritet Klassifisering

Tilgjengelighet

ColdFusion 2025

Oppdatering 10

Alle

1

ColdFusion 2023

Oppdatering 21

Alle

1

Notat

Av sikkerhetsgrunner anbefaler vi på det sterkeste at du bruker den nyeste mysql java-kontakten. For mer informasjon om bruken, se: https://helpx.adobe.com/coldfusion/kb/coldfusion-configuring-mysql-jdbc.html

 Se den oppdaterte dokumentasjonen for seriefilter for mer informasjon om beskyttelse mot usikre deserialiseringsangrep: https://helpx.adobe.com/coldfusion/kb/coldfusion-serialfilter-file.html

Informasjon om sikkerhetsproblemet

Sikkerhetsproblemkategori Sikkerhetsprobleminnvirkning Alvorlighetsgrad CVSS grunnscore CVSS-vektor CVE-nummer
Ubegrenset opplasting av fil med farlig type (CWE-434) Kjøring av vilkårlig kode Kritisk 10.0 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H CVE-2026-48276
Feil inndatavalidering (CWE-20) Kjøring av vilkårlig kode Kritisk 10.0 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H CVE-2026-48277
Feil inndatavalidering (CWE-20) Kjøring av vilkårlig kode Kritisk 10.0 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H CVE-2026-48281
Feil inndatavalidering (CWE-20) Kjøring av vilkårlig kode Kritisk 10.0 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:N CVE-2026-48316
Feil begrensning av banekrysning til en begrenset katalog (Path Traversal) (CWE-22) Kjøring av vilkårlig kode Kritisk 10.0 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H CVE-2026-48282
Ubegrenset opplasting av fil med farlig type (CWE-434) Kjøring av vilkårlig kode Kritisk 10.0 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H CVE-2026-48283
Feil begrensning av banekrysning til en begrenset katalog (Path Traversal) (CWE-22) Arbitrært filsystem-lesing Kritisk 9,3 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:L/A:N CVE-2026-48313
Feil inndatavalidering (CWE-20) Rettighetsutvidelse Kritisk 9,3 CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:N CVE-2026-48315
Skripting på tvers av nettsteder (Reflektert XSS) (CWE-79) Kjøring av vilkårlig kode Kritisk 8.8 CVSS:3.1/AV:A/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H CVE-2026-48307
Forfalskning av forespørsel på serverside (SSRF) (CWE-918) Omgåelse av sikkerhetsfunksjon Kritisk 8.6 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:N/A:N CVE-2026-48285
Feil begrensning av banekrysning til en begrenset katalog (Path Traversal) (CWE-22) Rettighetsutvidelse Viktig 6.5 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N CVE-2026-48314

Anerkjennelser:

Adobe takker følgende forskere for at de rapporterte dette problemet  og for at de samarbeider med Adobe for å hjelpe oss med å beskytte kundene våre:   

  • AnirudhAnand (a0xnirudh) - CVE-2026-48283, CVE-2026-48313
  • Matan Sandori (matans1) og 2Bsecure - CVE-2026-48307

MERK: Adobe har et offentlig bug-bounty-program med HackerOne. Hvis du er interessert i å jobbe med Adobe som en ekstern sikkerhetsforsker, kan du sjekke ut https://hackerone.com/adobe

Notat

Adobe anbefaler at du oppdaterer ColdFusion JDK/JRE LTS-versjonen til den nyeste oppdateringsutgivelsen som et sikkerhetstiltak. Nedlastingssiden ColdFusion oppdateres jevnlig for å inkludere de nyeste Java-installasjonsprogrammene for den JDK-versjonen som støttes av installasjonen, i henhold til matrisene nedenfor. 

Du finner instruksjoner om hvordan du bruker et eksternt JDK under Endre ColdFusion JVM

Adobe anbefaler også kunden å anvende innstillingene for sikkerhetskonfigurasjon som beskrevet i ColdFusion sikkerhetsdokumentasjon og se respektive veiledninger om låsing.    

Krav for ColdFusion JDK

COLDFUSION 2025 (versjon 2023.0.0.331385) og høyere
For applikasjonsservere

på JEE-installasjoner angir du følgende JVM-flagg, “-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**; !com.mysql.cj.jdbc.interceptors.**;!org.apache.commons.collections.**; " i respektive oppstartsfil  avhengig av typen applikasjonsserver som brukes.

Eksempel:
Applikasjonsserveren Apache Tomcat: Rediger JAVA_OPTS i filen Catalina.bat/sh
WebLogic-applikasjonsserver: Rediger JAVA_OPTIONS i filen startWeblogic.cmd
Applikasjonsserveren WildFly/EAP: Rediger JAVA_OPTS i filen standalone.conf
Sett JVM-flaggene på en JEE-installasjon av ColdFusion, ikke på en frittstående installasjon.

 

COLDFUSION 2023 (versjon 2023.0.0.330468) og høyere
For applikasjonsservere

på JEE-installasjoner angir du følgende JVM-flagg, “-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**; !com.mysql.cj.jdbc.interceptors.**;!org.apache.commons.collections.**; " i respektive oppstartsfil  avhengig av typen applikasjonsserver som brukes.

Eksempel:
Applikasjonsserveren Apache Tomcat: Rediger JAVA_OPTS i filen Catalina.bat/sh
WebLogic-applikasjonsserver: Rediger JAVA_OPTIONS i filen startWeblogic.cmd
Applikasjonsserveren WildFly/EAP: Rediger JAVA_OPTS i filen standalone.conf
Sett JVM-flaggene på en JEE-installasjon av ColdFusion, ikke på en frittstående installasjon.

 

COLDFUSION 2021 (Versjon 2021.0.0.323925) og nyere

For applikasjonsservere   

På JEE-installasjoner angir du følgende JVM-flagg, “-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**; !com.mysql.cj.jdbc.interceptors.**;!org.apache.commons.collections.**;"

i respektive oppstartsfil  avhengig av typen applikasjonsserver som brukes.

For eksempel:   

Apache Tomcat-applikasjonsserver: Rediger JAVA_OPTS i filen Catalina.bat/sh   

WebLogic-applikasjonsserver:  Rediger JAVA_OPTIONS i filen startWeblogic.cmd   

WildFly/EAP-applikasjonsserver:  Rediger JAVA_OPTS i filen standalone.conf   

Sett JVM-flaggene på en JEE-installasjon av ColdFusion, ikke på en frittstående installasjon.   


Hvis du vil ha mer informasjon, kan du se https://helpx.adobe.com/no/security.html eller sende en e-postmelding til PSIRT@adobe.com 

Adobe, Inc.

Få hjelp raskere og enklere

Ny bruker?