Идентификатор бюллетеня
Последнее обновление
24 апр. 2025 г.
Обновления системы безопасности для Adobe ColdFusion | APSB25-15
|
|
Дата публикации |
Приоритет |
|
APSB25-15 |
8 апреля 2025 г. |
1 |
Сводка
Компания Adobe выпустила обновления безопасности для ColdFusion версий 2025, 2023 и 2021. В этих обновлениях устранены критические и важные уязвимости, которые могли привести к произвольному чтению файловой системы, выполнению произвольного кода и обходу функций безопасности.
Adobe не имеет информации о свободном характере использования этих проблем в данных обновлениях.
Затронутые версии
|
Продукт |
Номер обновления |
Платформа |
|
ColdFusion 2025 |
Сборка 331385 |
Все |
|
ColdFusion 2023 |
Обновление 12 и более ранние версии |
Все |
|
ColdFusion 2021 |
Обновление 18 и более ранних версий |
Все |
Решение
Adobe категоризирует эти обновления при помощи рейтингов приоритета и рекомендует пользователям обновлять установленное ПО до последних версий:
|
Продукт |
Обновленная версия |
Платформа |
Рейтинг приоритета |
Доступность |
|---|---|---|---|---|
|
ColdFusion 2025 |
Обновление 1 |
Все |
1 |
|
|
ColdFusion 2023 |
Обновление 13 |
Все |
1 |
|
|
ColdFusion 2021 |
Обновление 19 |
Все |
1 |
Примечание.
Более подробную информацию о защите от небезопасных атак десериализации Wddx см. в обновленной документации по серийному фильтру на странице https://helpx.adobe.com/ru/coldfusion/kb/coldfusion-serialfilter-file.html
Сведения об уязвимости
|
Категория уязвимости |
Влияние уязвимости |
Серьезность |
Базовая оценка CVSS |
Номера CVE |
|
|
Неправильная проверка ввода (CWE-20) |
Чтение в произвольной файловой системе |
Критическая |
9.1 |
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H |
CVE-2025-24446 |
|
Десериализация ненадежных данных (CWE-502) |
Выполнение произвольного кода |
Критическая |
9.1 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N |
CVE-2025-24447 |
|
Неправильный контроль доступа (CWE-284) |
Чтение в произвольной файловой системе |
Критическая |
9.1 |
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H |
CVE-2025-30281 |
|
Неправильная аутентификация (CWE-287) |
Выполнение произвольного кода |
Критическая |
9.1 |
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H |
CVE-2025-30282 |
|
Десериализация ненадежных данных (CWE-502) |
Выполнение произвольного кода |
Критическая |
8.0 |
CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:C/C:H/I:H/A:H |
CVE-2025-30284 |
|
Десериализация ненадежных данных (CWE-502) |
Выполнение произвольного кода |
Критическая |
8.0 |
CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:C/C:H/I:H/A:H |
CVE-2025-30285 |
|
Неправильная нейтрализация специальных элементов, используемых в команде ОС («Внедрение команды ОС») (CWE-78) |
Выполнение произвольного кода |
Критическая |
8.0 |
CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:C/C:H/I:H/A:H |
CVE-2025-30286 |
|
Неправильная аутентификация (CWE-287) |
Выполнение произвольного кода |
Критическая |
8.1 |
CVSS:3.1/AV:L/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H |
CVE-2025-30287 |
|
Неправильный контроль доступа (CWE-284) |
Обход функции безопасности |
Критическая |
7.8 |
CVSS:3.1/AV:L/AC:H/PR:L/UI:N/S:C/C:H/I:H/A:H |
CVE-2025-30288 |
|
Неправильная нейтрализация специальных элементов, используемых в команде ОС («Внедрение команды ОС») (CWE-78) |
Выполнение произвольного кода |
Критическая |
7.5 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:N |
CVE-2025-30289 |
|
Выход за пределы назначенного каталога ("обход каталога") (CWE-22) |
Обход функции безопасности |
Критическая |
8.7 |
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H |
CVE-2025-30290 |
|
Раскрытие информации (CWE-200) |
Обход функции безопасности |
Важная |
6.2 |
CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N |
CVE-2025-30291 |
|
Межсайтовый скриптинг (отраженный) (CWE-79) |
Выполнение произвольного кода |
Важная |
6.1 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N |
CVE-2025-30292 |
|
Неправильная проверка ввода (CWE-20) |
Обход функции безопасности |
Важная |
6.8 |
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:N/I:H/A:N |
CVE-2025-30293 |
|
Неправильная проверка ввода (CWE-20) |
Обход функции безопасности |
Важная |
6.5 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N |
CVE-2025-30294 |
Благодарности:
Компания Adobe выражает благодарность следующим исследователям за сообщение об этой проблеме и за помощь Adobe в защите наших клиентов:
- nbxiglk: CVE-2025-24446, CVE-2025-30281, CVE-2025-30282, CVE-2025-30284, CVE-2025-30285, CVE-2025-30286, CVE-2025-30289
- Брайан Рейли (reillyb): CVE-2025-24447, CVE-2025-30288, CVE-2025-30290, CVE-2025-30291, CVE-2025-30292, CVE-2025-30293, CVE-2025-30294
- cioier: CVE-2025-30287
ПРИМЕЧАНИЕ: Adobe имеет частную программу Bug bounty с HackerOne. Если вы заинтересованы в сотрудничестве с Adobe в качестве внешнего исследователя безопасности, зайдите на наш сайт: https://hackerone.com/adobe
Примечание.
В целях безопасности Adobe рекомендует обновить ColdFusion JDK/JRE версии LTS до последней версии выпуска. Страница загрузки ColdFusion регулярно обновляется и включает в себя последние версии инсталляторов Java для JDK, поддерживаемых вашей установкой, в соответствии с приведенными ниже матрицами.
Инструкции по использованию внешнего JDK см. на сайте Change ColdFusion JVM.
Компания Adobe рекомендует применять параметры конфигурации безопасности, приведенные в документации ColdFusion Security, а также ознакомиться с соответствующими руководствами Lockdown.
Требования для набора средств ColdFusion JDK
COLDFUSION 2025 (версия 2023.0.0.331385) и выше
Для серверов приложений
В настройках JEE установите флаг JVM -Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**; !com.mysql.cj.jdbc.interceptors.**;!org.apache.commons.collections.**;» в соответствующем файле запуска в зависимости от типа используемого сервера приложений.
Например:
Сервер приложений Apache Tomcat: отредактируйте JAVA_OPTS в файле «Catalina.bat/sh»
Сервер приложений WebLogic: отредактируйте JAVA_OPTIONS в файле «startWeblogic.cmd»
Сервер приложений WildFly/EAP: отредактируйте JAVA_OPTS в файле «standalone.conf»
Установите флаги JVM при установке JEE для ColdFusion, а не для автономной установки.
COLDFUSION 2023 (версия 2023.0.0.330468) и выше
Для серверов приложений
В настройках JEE установите флаг JVM «-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**; !com.mysql.cj.jdbc.interceptors.**;!org.apache.commons.collections.**» в соответствующем файле запуска в зависимости от типа используемого сервера приложений.
Например:
Сервер приложений Apache Tomcat: отредактируйте JAVA_OPTS в файле «Catalina.bat/sh»
Сервер приложений WebLogic: отредактируйте JAVA_OPTIONS в файле «startWeblogic.cmd»
Сервер приложений WildFly/EAP: отредактируйте JAVA_OPTS в файле «standalone.conf»
Установите флаги JVM при установке JEE для ColdFusion, а не для автономной установки.
COLDFUSION 2021 (версия 2021.0.0.323925) и выше
Для серверов приложений
В настройках JEE установите флаг JVM «-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**; !com.mysql.cj.jdbc.interceptors.**;!org.apache.commons.collections.**;»
в соответствующем файле запуска в зависимости от типа используемого сервера приложений.
Например:
На сервере приложений Apache Tomcat измените раздел JAVA_OPTS в файле Catalina.bat/sh
На сервере приложений WebLogic измените раздел JAVA_OPTIONS в файле startWeblogic.cmd
На сервере приложений WildFly/EAP измените раздел JAVA_OPTS в файле standalone.conf
Установите флаги JVM при установке JEE для ColdFusion, а не для автономной установки.
Для получения дополнительной информации посетите сайт https://helpx.adobe.com/ru/security.html или отправьте сообщение по адресу PSIRT@adobe.com
