ID buletin
Ultima actualizare la
21 ian. 2026
APSB26-12 Actualizări de securitate disponibile pentru Adobe ColdFusion
|
|
Data publicării |
Prioritatea |
|
APSB26-12 |
13 ianuarie 2026 |
1 |
Sumar
Adobe a lansat actualizări de securitate pentru ColdFusion versiunile 2025 și 2023. Aceste dependențe rezolvă o vulnerabilitate critică ce ar putea duce la executarea arbitrară de cod.
Versiunile afectate
|
Produs |
Număr actualizare |
Platformă |
|
ColdFusion 2025 |
Update 5 și versiunile anterioare |
Toate |
|
ColdFusion 2023 |
Actualizarea 17 și versiunile anterioare |
Toate |
Soluție
Adobe clasifică aceste actualizări cu următoarele evaluări de prioritate și recomandă utilizatorilor să își actualizeze instalările la cele mai recente versiuni:
|
Produs |
Versiune actualizată |
Platformă |
Evaluare a priorității |
Disponibilitate |
|---|---|---|---|---|
|
ColdFusion 2025 |
Update 6 |
Toate |
1 |
|
|
ColdFusion 2023 |
Update 18 |
Toate |
1 |
Notă:
Din motive de securitate, vă recomandăm insistent să utilizați cea mai recentă versiune a conectorului java mysql. Pentru mai multe informații despre utilizarea sa, vă rugăm să consultați: https://helpx.adobe.com/ro/coldfusion/kb/coldfusion-configuring-mysql-jdbc.html
Consultați documentația actualizată pentru filtrul serial pentru mai multe detalii privind protecția împotriva atacurilor de deserializare nesigură: https://helpx.adobe.com/ro/coldfusion/kb/coldfusion-serialfilter-file.html
Actualizare la dependențe
|
Număr CVE |
Dependență |
Impactul vulnerabilității |
Versiuni afectate |
|
CVE-2025-66516 |
Apache Tika |
Executare de cod arbitrară |
Actualizarea 5 și cele anterioare Actualizarea 17 și cele anterioare |
Pentru mai multe informații, vă rugăm să consultați secțiunea: https://lists.apache.org/thread/s5x3k93nhbkqzztp1olxotoyjpdlps9k
Mențiuni:
Adobe dorește să le mulțumească următorilor cercetători pentru raportarea acestei probleme și pentru colaborarea cu Adobe în scopul protejării clienților noștri:
- Brian Reilly (reillyb) -- CVE-2025-61808, CVE-2025-61809
- Nhien Pham (nhienit2010) -- CVE-2025-61812, CVE-2025-61822, CVE-2025-61823
- nbxiglk -- CVE-2025-61810, CVE-2025-61811, CVE-2025-61813, CVE-2025-61821, CVE-2025-61830
- Karol Mazurek (cr1m5on) -- CVE-2025-64897
- bytehacker_sg -- CVE-2025-64898
NOTĂ: Adobe are un program public de recompensă pentru erori, cu HackerOne. Dacă sunteți interesat să colaborați cu Adobe în calitate de cercetător extern în domeniul securității, vă rugăm să ne contactați aici: https://hackerone.com/adobe
Notă:
Adobe recomandă actualizarea versiunii LTS JDK/JRE ColdFusion la ultima actualizare lansată, ca măsură de securitate. Pagina de descărcări ColdFusion este actualizată în mod regulat pentru a include cele mai recente programe de instalare Java pentru versiunea JDK pe care o acceptă instalarea dumneavoastră, conform matricelor de mai jos.
Pentru instrucțiuni privind modul de utilizare a unui JDK extern, consultați Schimbare JVM ColdFusion.
Adobe recomandă, de asemenea, aplicarea setărilor de configurare a securității incluse în documentația ColdFusion Security, precum și revizuirea ghidurilor Lockdown respective.
Cerință JDK ColdFusion
COLDFUSION 2025 (versiunea 2023.0.0.331385) și versiunile ulterioare
Pentru servere de aplicații
La instalările JEE, setați următorul marcaj JVM, “-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**; !com.mysql.cj.jdbc.interceptors.**;!org.apache.commons.collections.**; " în fișierul de pornire respectiv în funcție de tipul de Server de aplicații utilizat.
De exemplu:
Serverul de aplicații Apache Tomcat: editați JAVA_OPTS în fișierul 'Catalina.bat/sh'
Serverul de aplicații WebLogic: editați JAVA_OPTIONS în fișierul 'startWeblogic.cmd'
Serverul de aplicații WildFly/EAP: editați JAVA_OPTS în fișierul 'standalone.conf'
Setați marcajele JVM pe o instalare JEE de ColdFusion, nu pe o instalare independentă.
COLDFUSION 2023 (versiunea 2023.0.0.330468) și versiunile ulterioare
Pentru servere de aplicații
La instalările JEE, setați următorul marcaj JVM, “-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**; !com.mysql.cj.jdbc.interceptors.**;!org.apache.commons.collections.**;" în fișierul de pornire respectiv în funcție de tipul de Server de aplicații utilizat.
De exemplu:
Serverul de aplicații Apache Tomcat: editați JAVA_OPTS în fișierul 'Catalina.bat/sh'
Serverul de aplicații WebLogic: editați JAVA_OPTIONS în fișierul 'startWeblogic.cmd'
Serverul de aplicații WildFly/EAP: editați JAVA_OPTS în fișierul 'standalone.conf'
Setați marcajele JVM pe o instalare JEE de ColdFusion, nu pe o instalare independentă.
Pentru mai multe informații, vizitați https://helpx.adobe.com/ro/security.html sau trimiteți e-mail la PSIRT@adobe.com
