Идентификатор бюллетеня
Последнее обновление
21 янв. 2026 г.
Обновления системы безопасности для Adobe ColdFusion | APSB26-12
|
|
Дата публикации |
Приоритет |
|
APSB26-12 |
13 января 2026 г. |
1 |
Сводка
Компания Adobe выпустила обновления системы безопасности для Adobe ColdFusion версии 2025 и 2023. Это обновление устраняет критическую уязвимость, которая могла приводить к выполнению произвольного кода.
Затронутые версии
|
Продукт |
Номер обновления |
Платформа |
|
ColdFusion 2025 |
Обновление 5 и более ранних версий |
Все |
|
ColdFusion 2023 |
Обновление 17 и более ранних версий |
Все |
Решение
Adobe категоризирует эти обновления при помощи рейтингов приоритета и рекомендует пользователям обновлять установленное ПО до последних версий:
|
Продукт |
Обновленная версия |
Платформа |
Рейтинг приоритета |
Доступность |
|---|---|---|---|---|
|
ColdFusion 2025 |
Обновление 6 |
Все |
1 |
|
|
ColdFusion 2023 |
Обновление 18 |
Все |
1 |
Примечание.
В целях безопасности мы настоятельно рекомендуем использовать последнюю версию программы MySQL Java Connector. Для получения более подробной информации о ее использовании см. страницу https://helpx.adobe.com/ru/coldfusion/kb/coldfusion-configuring-mysql-jdbc.html
Более подробную информацию о защите от атак по небезопасной десериализации см. в обновленной документации по серийному фильтру на странице https://helpx.adobe.com/ru/coldfusion/kb/coldfusion-serialfilter-file.html
Обновление зависимостей
|
Номер CVE |
Зависимость |
Влияние уязвимости |
Затронутые версии |
|
CVE-2025-66516 |
Apache Tika |
Выполнение произвольного кода |
Обновление 5 и более ранние версии Обновление 17 и более ранние версии |
Дополнительную информацию см. на сайте: https://lists.apache.org/thread/s5x3k93nhbkqzztp1olxotoyjpdlps9k
Благодарности:
Компания Adobe выражает благодарность следующим исследователям за сообщение об этой проблеме и за помощь Adobe в защите наших клиентов:
- Brian Reilly (reillyb) — CVE-2025-61808, CVE-2025-61809
- Nhien Pham (nhienit2010) -- CVE-2025-61812, CVE-2025-61822, CVE-2025-61823
- nbxiglk -- CVE-2025-61810, CVE-2025-61811, CVE-2025-61813, CVE-2025-61821, CVE-2025-61830
- Karol Mazurek (cr1m5on) -- CVE-2025-64897
- bytehacker_sg — CVE-2025-64898
ПРИМЕЧАНИЕ: Adobe имеет частную программу Bug bounty с HackerOne. Если вы заинтересованы в сотрудничестве с Adobe в качестве внешнего исследователя безопасности, зайдите на наш сайт: https://hackerone.com/adobe
Примечание.
В целях безопасности Adobe рекомендует обновить ColdFusion JDK/JRE версии LTS до последней версии выпуска. Страница загрузки ColdFusion регулярно обновляется и включает в себя последние версии инсталляторов Java для JDK, поддерживаемых вашей установкой, в соответствии с приведенными ниже матрицами.
Инструкции по использованию внешнего JDK см. на сайте Change ColdFusion JVM.
Компания Adobe рекомендует применять параметры конфигурации безопасности, приведенные в документации ColdFusion Security, а также ознакомиться с соответствующими руководствами Lockdown.
Требования для набора средств ColdFusion JDK
COLDFUSION 2025 (версия 2023.0.0.331385) и выше
Для серверов приложений
В настройках JEE установите следующий флаг JVM “-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**; !com.mysql.cj.jdbc.interceptors.**;!org.apache.commons.collections.**; " в соответствующем файле запуска в зависимости от типа используемого сервера приложений.
Например:
Сервер приложений Apache Tomcat: отредактируйте JAVA_OPTS в файле «Catalina.bat/sh»
Сервер приложений WebLogic: отредактируйте JAVA_OPTIONS в файле «startWeblogic.cmd»
Сервер приложений WildFly/EAP: отредактируйте JAVA_OPTS в файле «standalone.conf»
Установите флаги JVM при установке JEE для ColdFusion, а не для автономной установки.
COLDFUSION 2023 (версия 2023.0.0.330468) и выше
Для серверов приложений
В настройках JEE установите следующий флаг JVM “-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**; !com.mysql.cj.jdbc.interceptors.**;!org.apache.commons.collections.**;" в соответствующем файле запуска в зависимости от типа используемого сервера приложений.
Например:
Сервер приложений Apache Tomcat: отредактируйте JAVA_OPTS в файле «Catalina.bat/sh»
Сервер приложений WebLogic: отредактируйте JAVA_OPTIONS в файле «startWeblogic.cmd»
Сервер приложений WildFly/EAP: отредактируйте JAVA_OPTS в файле «standalone.conf»
Установите флаги JVM при установке JEE для ColdFusion, а не для автономной установки.
Для получения дополнительной информации посетите сайт https://helpx.adobe.com/ru/security.html или отправьте сообщение по адресу PSIRT@adobe.com
