Бюллетень безопасности Adobe

Имеются обновления системы безопасности для Adobe ColdFusion | APSB25-69

Идентификатор бюллетеня

Дата публикации

Приоритет

APSB25-69

8 июля 2025 г.

1

Сводка

Adobe выпустила обновления системы безопасности для версий ColdFusion 2025, 2023 и 2021. Эти обновления устраняют критические, важные и средние уязвимости, которые могут привести к произвольному чтению файловой системы, выполнению произвольного кода, повышению привилегий, обходу функций обеспечения безопасности и отказу в обслуживании по приложениям.

 Adobe не имеет информации о свободном характере использования этих проблем в данных обновлениях.

Затронутые версии

Продукт

Номер обновления

Платформа

ColdFusion 2025

Обновление 2 и более ранние версии

Все

ColdFusion 2023

Обновление 14 и более ранние версии

Все

ColdFusion 2021

Обновление 20 и более ранних версий

Все

Решение

Adobe категоризирует эти обновления при помощи рейтингов приоритета и рекомендует пользователям обновлять установленное ПО до последних версий:

Продукт

Обновленная версия

Платформа

Рейтинг приоритета

Доступность

ColdFusion 2025

Обновление 3

Все

1

ColdFusion 2023

Обновление 15

Все

1

ColdFusion 2021

Обновление 21

Все

1

Примечание.

В целях безопасности мы настоятельно рекомендуем использовать последнюю версию программы MySQL Java Connector. Для получения дополнительной информации о его использовании,  см. страницу https://helpx.adobe.com/coldfusion/kb/coldfusion-configuring-mysql-jdbc.html

Более подробную информацию о защите от небезопасных атак десериализации Wddx см. в обновленной документации по серийному фильтру на странице https://helpx.adobe.com/ru/coldfusion/kb/coldfusion-serialfilter-file.html

Сведения об уязвимости

Категория уязвимости

Влияние уязвимости

Серьезность

Базовая оценка CVSS 

Номера CVE

Несоответствующее ограничение ссылки на внешний объект ('XXE') (CWE-611)

Чтение в произвольной файловой системе

Критическая

9,3

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:N/A:L

CVE-2025-49535

Использование жестко закодированных учетных данных (CWE-798)

Повышение уровня полномочий

Критическая

8.8

CVSS:3.1/AV:A/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

CVE-2025-49551

Некорректная авторизация (CWE-863)

Обход функции безопасности

Критическая

8.1

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N

CVE-2025-49536

Неправильная нейтрализация специальных элементов, используемых в команде ОС («Внедрение команды ОС») (CWE-78)

Чтение в произвольной файловой системе

Критическая

8.1

CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:C/C:H/I:H/A:H

CVE-2025-49537

XML Injection (или слепая Blind XPath Injection) (CWE-91)

Чтение в произвольной файловой системе

Критическая

7.4

CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:H

CVE-2025-49538

Несоответствующее ограничение ссылки на внешний объект ('XXE') (CWE-611)

Обход функции безопасности

Важная

6.5

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N

CVE-2025-49539

Межсайтовый скриптинг (сохраненный) (CWE-79)

Выполнение произвольного кода

Важная

4.8

CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:N

CVE-2025-49540

Межсайтовый скриптинг (сохраненный) (CWE-79)

Выполнение произвольного кода

Важная

4.8

CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:N

CVE-2025-49541

Межсайтовый скриптинг (сохраненный) (CWE-79)

Выполнение произвольного кода

Важная

6.1

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N

CVE-2025-49542

Межсайтовый скриптинг (сохраненный) (CWE-79)

Выполнение произвольного кода

Важная

4.8

CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:N

CVE-2025-49543

Несоответствующее ограничение ссылки на внешний объект ('XXE') (CWE-611)

Обход функции безопасности

Важная

6.8

CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:N/A:N

CVE-2025-49544

Подделка запросов на сервере (SSRF) (CWE-918)

Чтение в произвольной файловой системе

Важная

6.8

CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:N/A:N

CVE-2025-49545

Неправильный контроль доступа (CWE-284)

Отказ в обслуживании приложения

Средняя

2.7

CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:L

CVE-2025-49546

Благодарности:

Компания Adobe выражает благодарность следующим исследователям за сообщение об этой проблеме и за помощь Adobe в защите наших клиентов:   

  • anonymous_blackzero - CVE-2025-49536, CVE-2025-49542, CVE-2025-49543, CVE-2025-49544
  • nbxiglk - CVE-2025-49535, CVE-2025-49537, CVE-2025-49551
  • Brian Reilly (reillyb) - CVE-2025-49539, CVE-2025-49545
  • the_predator - CVE-2025-49540, CVE-2025-49541
  • Ashish Dhone (ashketchum) - CVE-2025-49546
  • Nhien Pham (nhienit2010) - CVE-2025-49538

ПРИМЕЧАНИЕ: Adobe имеет частную программу Bug bounty с HackerOne. Если вы заинтересованы в сотрудничестве с Adobe в качестве внешнего исследователя безопасности, зайдите на наш сайт: https://hackerone.com/adobe

Примечание.

В целях безопасности Adobe рекомендует обновить ColdFusion JDK/JRE версии LTS до последней версии выпуска. Страница загрузки ColdFusion регулярно обновляется и включает в себя последние версии инсталляторов Java для JDK, поддерживаемых вашей установкой, в соответствии с приведенными ниже матрицами. 

Инструкции по использованию внешнего JDK см. на сайте Change ColdFusion JVM

Компания Adobe рекомендует применять параметры конфигурации безопасности, приведенные в документации ColdFusion Security, а также ознакомиться с соответствующими руководствами Lockdown.    

Требования для набора средств ColdFusion JDK

COLDFUSION 2025 (версия 2023.0.0.331385) и выше
Для серверов приложений

В настройках JEE установите следующий флаг JVM “-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**; !com.mysql.cj.jdbc.interceptors.**;!org.apache.commons.collections.**; " в соответствующем файле запуска в зависимости от типа используемого сервера приложений.

Например:
Сервер приложений Apache Tomcat: отредактируйте JAVA_OPTS в файле «Catalina.bat/sh»
Сервер приложений WebLogic: отредактируйте JAVA_OPTIONS в файле «startWeblogic.cmd»
Сервер приложений WildFly/EAP: отредактируйте JAVA_OPTS в файле «standalone.conf»
Установите флаги JVM при установке JEE для ColdFusion, а не для автономной установки.

 

COLDFUSION 2023 (версия 2023.0.0.330468) и выше
Для серверов приложений

В настройках JEE установите следующий флаг JVM “-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**; !com.mysql.cj.jdbc.interceptors.**;!org.apache.commons.collections.**; " в соответствующем файле запуска в зависимости от типа используемого сервера приложений.

Например:
Сервер приложений Apache Tomcat: отредактируйте JAVA_OPTS в файле «Catalina.bat/sh»
Сервер приложений WebLogic: отредактируйте JAVA_OPTIONS в файле «startWeblogic.cmd»
Сервер приложений WildFly/EAP: отредактируйте JAVA_OPTS в файле «standalone.conf»
Установите флаги JVM при установке JEE для ColdFusion, а не для автономной установки.

 

COLDFUSION 2021 (версия 2021.0.0.323925) и выше

Для серверов приложений   

В настройках JEE установите следующий флаг JVM “-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**; !com.mysql.cj.jdbc.interceptors.**;!org.apache.commons.collections.**;"

в соответствующем файле запуска в зависимости от типа используемого сервера приложений.

Например:   

На сервере приложений Apache Tomcat измените раздел JAVA_OPTS в файле Catalina.bat/sh   

На сервере приложений WebLogic измените раздел JAVA_OPTIONS в файле startWeblogic.cmd   

На сервере приложений WildFly/EAP измените раздел JAVA_OPTS в файле standalone.conf   

Установите флаги JVM при установке JEE для ColdFusion, а не для автономной установки.   


Для получения дополнительной информации посетите сайт https://helpx.adobe.com/ru/security.html или отправьте сообщение по адресу PSIRT@adobe.com 

Adobe, Inc.

Получайте помощь быстрее и проще

Новый пользователь?