Buletin de securitate Adobe

Căutare

Ultima actualizare la 17 iul. 2025

Actualizări de securitate disponibile pentru Adobe ColdFusion | APSB25-69

ID buletin	Data publicării	Prioritatea
APSB25-69	8 iulie 2025	1

Sumar

Adobe a lansat actualizări de securitate pentru versiunile ColdFusion 2025, 2023 și 2021. Aceste actualizări rezolvă vulnerabilitățicritice, importante și moderate care ar putea duce la citirea arbitrară a sistemului de fișiere, executarea arbitrară de cod, escaladarea privilegiilor, ocolirea caracteristicilor de securitate și refuzul de serviciu al aplicației.

 Compania Adobe nu are cunoștință de vreo exploatare „în mediu liber” pentru niciuna din problemele adresate în cadrul acestor actualizări.

Versiunile afectate

Produs	Număr actualizare	Platformă
ColdFusion 2025	Actualizarea 2 și versiunile anterioare	Toate
ColdFusion 2023	Actualizarea 14 și versiunile anterioare	Toate
ColdFusion 2021	Update 20 și versiunile anterioare	Toate

Soluție

Adobe clasifică aceste actualizări cu următoarele evaluări de prioritate și recomandă utilizatorilor să își actualizeze instalările la cele mai recente versiuni:

Produs	Versiune actualizată	Platformă	Evaluare a priorității	Disponibilitate
ColdFusion 2025	Actualizarea 3	Toate	1	Notă tehnică
ColdFusion 2023	Update 15	Toate	1	Notă tehnică
ColdFusion 2021	Update 21	Toate	1	Notă tehnică

Notă:

Din motive de securitate, vă recomandăm insistent să utilizați cea mai recentă versiune a conectorului java mysql. Pentru mai multe informații privind utilizarea sa, vă rugăm să consultați https://helpx.adobe.com/coldfusion/kb/coldfusion-configuring-mysql-jdbc.html

Consultați documentația actualizată a filtrului serial pentru mai multe detalii despre protecția împotriva atacurilor de deserializare Wddx nesigure https://helpx.adobe.com/ro/coldfusion/kb/coldfusion-serialfilter-file.html

Detalii privind vulnerabilitatea

Categoria de vulnerabilitate	Impactul vulnerabilității	Severitate	Scor de bază CVSS	Vector CVSS	Numere CVE
Restricționare inadecvată a referinței la entități externe XML („XXE”) (CWE-611)	Citire arbitrară din sistemul de fișiere	Critică	9,3	CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:N/A:L	CVE-2025-49535
Utilizarea acreditărilor codificate fix (CWE-798)	Escaladarea privilegiilor	Critică	8.8	CVSS:3.1/AV:A/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H	CVE-2025-49551
Autorizare incorectă (CWE-863)	Ocolirea caracteristicii de securitate	Critică	8.1	CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N	CVE-2025-49536
Neutralizarea necorespunzătoare a elementelor speciale utilizate într-o comandă de sistem de operare ("Injectarea comenzii OS") (CWE-78)	Citire arbitrară din sistemul de fișiere	Critică	8.1	CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:C/C:H/I:H/A:H	CVE-2025-49437
Injectarea XML (cunoscută și ca Injectarea XPath oarbă) (CWE-91)	Citire arbitrară din sistemul de fișiere	Critică	7.4	CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:H	CVE-2025-49538
Restricționare inadecvată a referinței la entități externe XML („XXE”) (CWE-611)	Ocolirea caracteristicii de securitate	Importantă	6.5	CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N	CVE-2025-49539
Scriptare între site-uri (XSS stocat) (CWE-79)	Executare de cod arbitrar	Importantă	4.8	CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:N	CVE-2025-49540
Scriptare între site-uri (XSS stocat) (CWE-79)	Executare de cod arbitrară	Importantă	4.8	CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:N	CVE-2025-49541
Scriptare între site-uri (XSS stocat) (CWE-79)	Executare de cod arbitrar	Importantă	6.1	CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N	CVE-2025-49542
Scriptare între site-uri (XSS stocat) (CWE-79)	Executare de cod arbitrar	Importantă	4.8	CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:N	CVE-2025-49543
Restricționare inadecvată a referinței la entități externe XML („XXE”) (CWE-611)	Ocolirea caracteristicii de securitate	Importantă	6.8	CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:N/A:N	CVE-2025-49544
Falsificarea solicitărilor de partea serverului (SSRF) (CWE-918)	Citire arbitrară din sistemul de fișiere	Importantă	6.8	CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:N/A:N	CVE-2025-49545
Control inadecvat al accesului (CWE-284)	Refuz de serviciu pentru aplicație	Moderată	2.7	CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:L	CVE-2025-49546

Mențiuni:

Adobe dorește să le mulțumească următorilor cercetători pentru raportarea acestei probleme și pentru colaborarea cu Adobe în scopul protejării clienților noștri:   

anonymous_blackzero - CVE-2025-49536, CVE-2025-49542, CVE-2025-49543, CVE-2025-49544
nbxiglk - CVE-2025-49535, CVE-2025-49537, CVE-2025-49551
Brian Reilly (reillyb) - CVE-2025-49539, CVE-2025-49545
the predator - CVE-2025-49540, CVE-2025-49541
Ashish Dhone (ashketchum) - CVE-2025-49546
Nhien Pham (nhienit2010) - CVE-2025-49538

NOTĂ: Adobe are un program public de recompensă pentru erori, cu HackerOne. Dacă sunteți interesat să colaborați cu Adobe în calitate de cercetător extern în domeniul securității, vă rugăm să ne contactați aici: https://hackerone.com/adobe

Notă:

Adobe recomandă actualizarea versiunii LTS JDK/JRE ColdFusion la ultima actualizare lansată, ca măsură de securitate. Pagina de descărcări ColdFusion este actualizată în mod regulat pentru a include cele mai recente programe de instalare Java pentru versiunea JDK pe care o acceptă instalarea dumneavoastră, conform matricelor de mai jos.

Pentru instrucțiuni privind modul de utilizare a unui JDK extern, consultați Schimbare JVM ColdFusion.

Adobe recomandă, de asemenea, aplicarea setărilor de configurare a securității incluse în documentația ColdFusion Security, precum și revizuirea ghidurilor Lockdown respective.   

Cerință JDK ColdFusion

COLDFUSION 2025 (versiunea 2023.0.0.331385) și versiunile ulterioare
Pentru servere de aplicații

La instalările JEE, setați următorul marcaj JVM, “-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**; !com.mysql.cj.jdbc.interceptors.**;!org.apache.commons.collections.**; " în fișierul de pornire respectiv în funcție de tipul de Server de aplicații utilizat.

De exemplu:
Serverul de aplicații Apache Tomcat: editați JAVA_OPTS în fișierul 'Catalina.bat/sh'
Serverul de aplicații WebLogic: editați JAVA_OPTIONS în fișierul 'startWeblogic.cmd'
Serverul de aplicații WildFly/EAP: editați JAVA_OPTS în fișierul 'standalone.conf'
Setați marcajele JVM pe o instalare JEE de ColdFusion, nu pe o instalare independentă.

COLDFUSION 2023 (versiunea 2023.0.0.330468) și versiunile ulterioare
Pentru servere de aplicații

La instalările JEE, setați următorul marcaj JVM, “-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**; !com.mysql.cj.jdbc.interceptors.**;!org.apache.commons.collections.**; " în fișierul de pornire respectiv în funcție de tipul de Server de aplicații utilizat.

COLDFUSION 2021 (Versiunea 2021.0.0.323925) și mai recent

Pentru servere de aplicații  

Pe instalările JEE, setați următorul marcaj JVM, -Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**; !com.mysql.cj.jdbc.interceptors.**;!org.apache.commons.collections.**;"

în fișierul de pornire corespunzător, în funcție de tipul de server de aplicații utilizat.

De exemplu:  

Pe serverul de aplicații Apache Tomcat: editați JAVA_OPTS în fișierul „Catalina.bat/sh”  

Serverul de aplicații WebLogic: editați JAVA_OPTIONS în fișierul „startWeblogic.cmd”  

Serverul de aplicații WildFly/EAP: editați JAVA_OPTS în fișierul „standalone.conf”  

Setați marcajele JVM pe o instalare JEE de ColdFusion, nu pe o instalare independentă.  

Pentru mai multe informații, vizitați https://helpx.adobe.com/ro/security.html sau trimiteți e-mail la PSIRT@adobe.com

Obțineți ajutor mai rapid și mai ușor

Utilizator nou?