Bulletin-ID
Senast uppdaterad den
15 jan. 2026
Säkerhetsuppdateringar tillgängliga för Adobe ColdFusion | APSB26-12
|
|
Publiceringsdatum |
Prioritet |
|
APSB26-12 |
13 januari 2026 |
1 |
Sammanfattning
Adobe har släppt säkerhetsuppdateringar för ColdFusion versionerna 2025 och 2023. Dessa beroendeuppdateringar löser en av avgörande vikt sårbarhet som kan leda till godtycklig kodkörning.
Berörda versioner
|
Produkt |
Uppdateringsnummer |
Plattform |
|
ColdFusion 2025 |
Uppdatering 5 och tidigare versioner |
Alla |
|
ColdFusion 2023 |
Uppdatera 17 och tidigare versioner |
Alla |
Lösning
Adobe ger dessa uppdateringar följande prioritetsklassificering och rekommenderar användare att uppdatera till den senaste versionen:
|
Produkt |
Uppdaterad version |
Plattform |
Prioritetsklassificering |
Tillgänglighet |
|---|---|---|---|---|
|
ColdFusion 2025 |
Uppdatering 6 |
Alla |
1 |
|
|
ColdFusion 2023 |
Uppdatering 18 |
Alla |
1 |
Obs!
Av säkerhetsskäl rekommenderar vi starkt att du använder den senaste MySQL Java-anslutningen. För mer information om dess användning, se: https://helpx.adobe.com/coldfusion/kb/coldfusion-configuring-mysql-jdbc.html
Se den uppdaterade dokumentationen för seriellt filter för mer information om skydd mot osäkra deserialiseringsattacker: https://helpx.adobe.com/coldfusion/kb/coldfusion-serialfilter-file.html
Uppdatera till beroenden
|
CVE-nummer |
Beroende |
Sårbarhetens inverkan |
Berörda versioner |
|
CVE-2025-66516 |
Apache Tika |
Exekvering av godtycklig kod |
Uppdatera 5 och tidigare Uppdatera 17 och tidigare |
För mer information, se: https://lists.apache.org/thread/s5x3k93nhbkqzztp1olxotoyjpdlps9k
Tack:
Adobe tackar följande forskare för att de har rapporterat det här problemet och för att de samarbetar med Adobe i säkerhetsfrågor:
- Brian Reilly (reillyb) -- CVE-2025-61808, CVE-2025-61809
- Nhien Pham (nhienit2010) -- CVE-2025-61812, CVE-2025-61822, CVE-2025-61823
- nbxiglk -- CVE-2025-61810, CVE-2025-61811, CVE-2025-61813, CVE-2025-61821, CVE-2025-61830
- Karol Mazurek (cr1m5on) -- CVE-2025-64897
- bytehacker_sg -- CVE-2025-64898
Obs! Adobe har ett offentligt program ihop med HackerOne för att hitta fel. Om du är intresserad av att arbeta med Adobe som extern säkerhetsforskare kan du läsa mer på https://hackerone.com/adobe
Obs!
Adobe rekommenderar att du uppdaterar ColdFusion JDK/JRE LTS-versionen till den senaste uppdaterade versionen som en säker praxis. ColdFusions hämtningssida uppdateras regelbundet för att inkludera de senaste Java-installationsprogrammen för den JDK-version som din installation stöder enligt matriserna nedan.
Anvisningar om hur du använder en extern JDK finns i Ändra ColdFusion JVM.
Adobe rekommenderar också att du använder de säkerhetskonfigurationsinställningar som finns i ColdFusion Security-dokumentationen samt att du läser igenom respektive Lockdown-guide.
JDK-krav för ColdFusion
COLDFUSION 2025 (version 2023.0.0.331385) och senare
\nFör appservrar
\n
\nPå JEE-installationer, ställ in följande JVM-flagga, "-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**; !com.mysql.cj.jdbc.interceptors.**;!org.apache.commons.collections.**; " i respektive startfil beroende på vilken typ av appserver som används.
Till exempel:
\nApache Tomcat Application Server: redigera JAVA_OPTS i filen 'Catalina.bat/sh'
\nWebLogic Application Server: redigera JAVA_OPTIONS i filen 'startWeblogic.cmd'
\nWildFly/EAP Application Server: redigera JAVA_OPTS i filen 'standalone.conf'
\nStäll in JVM-flaggorna på en JEE-installation av ColdFusion, inte på en fristående installation.
COLDFUSION 2023 (version 2023.0.0.330468) och senare
\nFör appservrar
\n
\nPå JEE-installationer, ställ in följande JVM-flagga, "-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**; !com.mysql.cj.jdbc.interceptors.**;!org.apache.commons.collections.**;" i respektive startfil beroende på vilken typ av appserver som används.
Till exempel:
\nApache Tomcat Application Server: redigera JAVA_OPTS i filen 'Catalina.bat/sh'
\nWebLogic Application Server: redigera JAVA_OPTIONS i filen 'startWeblogic.cmd'
\nWildFly/EAP Application Server: redigera JAVA_OPTS i filen 'standalone.conf'
\nStäll in JVM-flaggorna på en JEE-installation av ColdFusion, inte på en fristående installation.
Mer information finns på https://helpx.adobe.com/se/security.html eller skicka mejl till PSIRT@adobe.com
