Buletin de securitate Adobe

Actualizări de securitate disponibile pentru Adobe ColdFusion| APSB25-93

ID buletin

Data publicării

Prioritatea

APSB25-93

9 septembrie 2025

1

Sumar

Adobe a lansat actualizări de securitate pentru ColdFusion versiunile 2025, 2023 și 2021. Aceste actualizări rezolvă o vulnerabilitate critică care ar putea duce la scrierea arbitrară în sistemul de fișiere.

 Compania Adobe nu are cunoștință de vreo exploatare „în mediu liber” pentru niciuna din problemele adresate în cadrul acestor actualizări.

Versiunile afectate

Produs

Număr actualizare

Platformă

ColdFusion 2025

Update 3 și versiunile anterioare

Toate

ColdFusion 2023

Actualizarea 15 și versiunile anterioare
  

Toate

ColdFusion 2021

Actualizarea 21 și versiunile anterioare

Toate

Soluție

Adobe clasifică aceste actualizări cu următoarele evaluări de prioritate și recomandă utilizatorilor să își actualizeze instalările la cele mai recente versiuni:

Produs

Versiune actualizată

Platformă

Evaluare a priorității

Disponibilitate

ColdFusion 2025

Update 4

Toate

1

ColdFusion 2023

Update 16

Toate

1

ColdFusion 2021

Actualizarea 22

Toate

1

Notă:

Din motive de securitate, vă recomandăm insistent să utilizați cea mai recentă versiune a conectorului java mysql. Pentru mai multe informații privind utilizarea sa, vă rugăm să  consultați https://helpx.adobe.com/coldfusion/kb/coldfusion-configuring-mysql-jdbc.html

Consultați documentația actualizată a filtrului serial pentru mai multe detalii despre protecția împotriva atacurilor de deserializare Wddx nesigure https://helpx.adobe.com/ro/coldfusion/kb/coldfusion-serialfilter-file.html

Detalii privind vulnerabilitatea

Categoria de vulnerabilitate

Impactul vulnerabilității

Severitate

Scor de bază CVSS 

Numere CVE

Limitare incorectă a unui nume de cale la un director restricționat („Traversarea căii”) (CWE-22)

Scriere arbitrară în sistemul de fișiere

Critică

10.0

 

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H

CVE-2025-54261

Mențiuni:

Adobe dorește să le mulțumească următorilor cercetători pentru raportarea acestei probleme și pentru colaborarea cu Adobe în scopul protejării clienților noștri:   

  • Nhien Pham (nhienit2010) - CVE-2025-54261

NOTĂ: Adobe are un program public de recompensă pentru erori, cu HackerOne. Dacă sunteți interesat să colaborați cu Adobe în calitate de cercetător extern în domeniul securității, vă rugăm să ne contactați aici: https://hackerone.com/adobe

Notă:

Adobe recomandă actualizarea versiunii LTS JDK/JRE ColdFusion la ultima actualizare lansată, ca măsură de securitate. Pagina de descărcări ColdFusion este actualizată în mod regulat pentru a include cele mai recente programe de instalare Java pentru versiunea JDK pe care o acceptă instalarea dumneavoastră, conform matricelor de mai jos. 

Pentru instrucțiuni privind modul de utilizare a unui JDK extern, consultați Schimbare JVM ColdFusion

Adobe recomandă, de asemenea, aplicarea setărilor de configurare a securității incluse în documentația ColdFusion Security, precum și revizuirea ghidurilor Lockdown respective.    

Cerință JDK ColdFusion

COLDFUSION 2025 (versiunea 2023.0.0.331385) și versiunile ulterioare
Pentru servere de aplicații

La instalările JEE, setați următorul marcaj JVM, “-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**; !com.mysql.cj.jdbc.interceptors.**;!org.apache.commons.collections.**; " în fișierul de pornire respectiv în funcție de tipul de Server de aplicații utilizat.

De exemplu:
Serverul de aplicații Apache Tomcat: editați JAVA_OPTS în fișierul 'Catalina.bat/sh'
Serverul de aplicații WebLogic: editați JAVA_OPTIONS în fișierul 'startWeblogic.cmd'
Serverul de aplicații WildFly/EAP: editați JAVA_OPTS în fișierul 'standalone.conf'
Setați marcajele JVM pe o instalare JEE de ColdFusion, nu pe o instalare independentă.

 

COLDFUSION 2023 (versiunea 2023.0.0.330468) și versiunile ulterioare
Pentru servere de aplicații

La instalările JEE, setați următorul marcaj JVM, “-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**; !com.mysql.cj.jdbc.interceptors.**;!org.apache.commons.collections.**; " în fișierul de pornire respectiv în funcție de tipul de Server de aplicații utilizat.

De exemplu:
Serverul de aplicații Apache Tomcat: editați JAVA_OPTS în fișierul 'Catalina.bat/sh'
Serverul de aplicații WebLogic: editați JAVA_OPTIONS în fișierul 'startWeblogic.cmd'
Serverul de aplicații WildFly/EAP: editați JAVA_OPTS în fișierul 'standalone.conf'
Setați marcajele JVM pe o instalare JEE de ColdFusion, nu pe o instalare independentă.

 

COLDFUSION 2021 (Versiunea 2021.0.0.323925) și mai recent

Pentru servere de aplicații   

Pe instalările JEE, setați următorul marcaj JVM, -Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**; !com.mysql.cj.jdbc.interceptors.**;!org.apache.commons.collections.**;"

în fișierul de pornire corespunzător, în funcție de tipul de server de aplicații utilizat.

De exemplu:   

Pe serverul de aplicații Apache Tomcat: editați JAVA_OPTS în fișierul „Catalina.bat/sh”   

Serverul de aplicații WebLogic: editați JAVA_OPTIONS în fișierul „startWeblogic.cmd”   

Serverul de aplicații WildFly/EAP: editați JAVA_OPTS în fișierul „standalone.conf”   

Setați marcajele JVM pe o instalare JEE de ColdFusion, nu pe o instalare independentă.   


Pentru mai multe informații, vizitați https://helpx.adobe.com/ro/security.html sau trimiteți e-mail la PSIRT@adobe.com 

Adobe, Inc.

Obțineți ajutor mai rapid și mai ușor

Utilizator nou?