Bülten No
Son güncelleme:
24 Nis 2025
Adobe ColdFusion için güvenlik güncellemeleri | APSB25-15
|
|
Yayınlandığı Tarih |
Öncelik |
|
APSB25-15 |
08 Nisan 2025 Çarşamba |
1 |
Özet
Adobe, ColdFusion 2025, 2023 ve 2021 sürümleri için güvenlik güncellemeleri yayınladı. Bu güncelleme, rastgele sistem dosyası okunmasına, rastgele kod yürütülmesine ve güvenlik özelliği sızıntısına yol açabilecek kritik ve önemligüvenlik açıklarını giderir.
Adobe, bu güncellemelerde ele alınan sorunların şirket dışında yaşandığına dair bir duyum almamıştır.
Etkilenen Sürümler
|
Ürün |
Güncelleme numarası |
Platform |
|
ColdFusion 2025 |
Derleme 331385 |
Tümü |
|
ColdFusion 2023 |
Güncelleme 12 ve önceki sürümler |
Tümü |
|
ColdFusion 2021 |
18 ve daha önceki sürümleri güncelle |
Tümü |
Çözüm
Adobe, bu güncellemeleri aşağıdaki öncelik derecelendirmelerine göre sınıflandırır ve kullanıcıların yüklemelerini en yeni sürümlere güncellemelerini önerir:
|
Ürün |
Güncel sürüm |
Platform |
Öncelik derecelendirmesi |
Bulunma Durumu |
|---|---|---|---|---|
|
ColdFusion 2025 |
Güncelleme 1 |
Tümü |
1 |
|
|
ColdFusion 2023 |
Güncelleme 13 |
Tümü |
1 |
|
|
ColdFusion 2021 |
Güncelleme 19 |
Tümü |
1 |
Not:
Güvenli olmayan Wddx seri durumundan çıkarma saldırılarına karşı koruma hakkında daha fazla bilgi için güncellenmiş seri filtre belgelerine bakın https://helpx.adobe.com/tr/coldfusion/kb/coldfusion-serialfilter-file.html
Güvenlik Açığı Detayları
|
Güvenlik Açığı Kategorisi |
Güvenlik Açığı Etkisi |
Önem Derecesi |
CVSS baz skoru |
CVE Numaraları |
|
|
Uygunsuz Giriş Doğrulaması (CWE-20) |
Rastgele sistem dosyası okunması |
Kritik |
9.1 |
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H |
CVE-2025-24446 |
|
Güvenilmeyen Verilerin seri durumundan çıkarılması(CWE-502) |
Rastgele kod yürütme |
Kritik |
9.1 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N |
CVE-2025-24447 |
|
Uygunsuz Erişim Kontrolü (CWE-284) |
Rastgele sistem dosyası okunması |
Kritik |
9.1 |
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H |
CVE-2025-30281 |
|
Uygunsuz Authentication (CWE-287) |
Rastgele kod yürütme |
Kritik |
9.1 |
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H |
CVE-2025-30282 |
|
Güvenilmeyen Verilerin seri durumundan çıkarılması(CWE-502) |
Rastgele kod yürütme |
Kritik |
8.0 |
CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:C/C:H/I:H/A:H |
CVE-2025-30284 |
|
Güvenilmeyen Verilerin seri durumundan çıkarılması(CWE-502) |
Rastgele kod yürütme |
Kritik |
8.0 |
CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:C/C:H/I:H/A:H |
CVE-2025-30285 |
|
Bir İşletim Sistemi Komutunda Kullanılan Özel Unsurların Uygun Olmayan Şekilde Etkisiz Hale Getirilmesi ('İşletim Sistemi Komut Enjeksiyonu') (CWE-78) |
Rastgele kod yürütme |
Kritik |
8.0 |
CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:C/C:H/I:H/A:H |
CVE-2025-30286 |
|
Uygunsuz Authentication (CWE-287) |
Rastgele kod yürütme |
Kritik |
8.1 |
CVSS:3.1/AV:L/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H |
CVE-2025-30287 |
|
Uygunsuz Erişim Kontrolü (CWE-284) |
Güvenlik özelliği atlatması |
Kritik |
7.8 |
CVSS:3.1/AV:L/AC:H/PR:L/UI:N/S:C/C:H/I:H/A:H |
CVE-2025-30288 |
|
Bir İşletim Sistemi Komutunda Kullanılan Özel Unsurların Uygun Olmayan Şekilde Etkisiz Hale Getirilmesi ('İşletim Sistemi Komut Enjeksiyonu') (CWE-78) |
Rastgele kod yürütme |
Kritik |
7.5 |
CVSS:3.1/AV:L/AC:H/PR:L/UI:N/S:C/C:H/I:H/A:N |
CVE-2025-30289 |
|
Bir Yol Adının Kısıtlı Bir Dizinle Uygunsuz Şekilde Sınırlanması ('Yol Geçişi') (CWE-22) |
Güvenlik özelliği atlatması |
Kritik |
8.7 |
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:N/I:H/A:H |
CVE-2025-30290 |
|
Bilgi Açığa Çıkması (CWE-200) |
Güvenlik özelliği atlatması |
Önemli |
6.2 |
CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N |
CVE-2025-30291 |
|
Cross-site Scripting (Reflected XSS) (CWE-79) |
Rastgele kod yürütme |
Önemli |
6.1 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N |
CVE-2025-30292 |
|
Uygunsuz Giriş Doğrulaması (CWE-20) |
Güvenlik özelliği atlatması |
Önemli |
6.8 |
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:N/I:H/A:N |
CVE-2025-30293 |
|
Uygunsuz Giriş Doğrulaması (CWE-20) |
Güvenlik özelliği atlatması |
Önemli |
6.5 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N |
CVE-2025-30294 |
Teşekkür:
Adobe, bu sorunu bildirdikleri ve müşterilerimizin korunmasına yardımcı olmak için Adobe ile çalıştıkları için aşağıdaki araştırmacılara teşekkür eder:
- nbxiglk - CVE-2025-24446, CVE-2025-30281, CVE-2025-30282, CVE-2025-30284, CVE-2025-30285, CVE-2025-30286, CVE-2025-30289
- Brian Reilly (reillyb) - CVE-2025-24447, CVE-2025-30288, CVE-2025-30290, CVE-2025-30291, CVE-2025-30292, CVE-2025-30293, CVE-2025-30294
- cioier - CVE-2025-30287
NOT: Adobe'nin HackerOne ile herkese açık hata ödül programı vardır. Adobe ile harici bir güvenlik araştırmacısı olarak çalışmakla ilgileniyorsanız lütfen https://hackerone.com/adobe sayfasına göz atın.
Not:
Adobe, güvenli bir uygulama olarak ColdFusion JDK/JRE LTS sürümünüzü en son güncelleme sürümüne güncellemenizi önerir. ColdFusion indirme sayfası, aşağıdaki matrislere göre kurulumunuzun desteklediği JDK sürümü için en son Java yükleyicilerini içerecek şekilde düzenli olarak güncellenir.
Harici bir JDK'nın nasıl kullanılacağına ilişkin talimatlar için ColdFusion JVM'yi Değiştirme bölümüne bakın.
Ayrıca Adobe, güvenlik yapılandırma ayarlarının ColdFusion Güvenlik sayfasında belirtildiği şekilde uygulanmasını ve ilgili Kilitleme kılavuzlarının gözden geçirilmesini önerir.
ColdFusion JDK Gerekliliği
COLDFUSION 2025 (sürüm 2023.0.0.331385) ve üzeri
Uygulama Sunucuları için
JEE kurulumlarında, aşağıdaki JVM uyarısını ayarlayın, "-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**; !com.mysql.cj.jdbc.interceptors.**;!org.apache.commons.collections.**; " kullanılan Uygulama Sunucusu’nun türüne göre belirli başlangıç dosyasında.
Örneğin:
Apache Tomcat Uygulama Sunucusu: 'Catalina.bat/sh' dosyasında JAVA_OPTS'u düzenleyin
WebLogic Uygulama Sunucusu: 'startWeblogic.cmd' dosyasında JAVA_OPTIONS'u düzenleyin
WildFly/EAP Uygulama Sunucusu: 'standalone.conf' dosyasında JAVA_OPTS'u düzenleyin
JVM uyarılarını ColdFusion'ın JEE kurulumunda ayarlayın, bağımsız bir kurulumda değil.
COLDFUSION 2023 (sürüm 2023.0.0.330468) ve üzeri
Uygulama Sunucuları için
JEE kurulumlarında, aşağıdaki JVM uyarısını ayarlayın, "-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**; !com.mysql.cj.jdbc.interceptors.**;!org.apache.commons.collections.**;" kullanılan Uygulama Sunucusu’nun türüne göre belirli başlangıç dosyasında.
Örneğin:
Apache Tomcat Uygulama Sunucusu: 'Catalina.bat/sh' dosyasında JAVA_OPTS'u düzenleyin
WebLogic Uygulama Sunucusu: 'startWeblogic.cmd' dosyasında JAVA_OPTIONS'u düzenleyin
WildFly/EAP Uygulama Sunucusu: 'standalone.conf' dosyasında JAVA_OPTS'u düzenleyin
JVM uyarılarını ColdFusion'ın JEE kurulumunda ayarlayın, bağımsız bir kurulumda değil.
COLDFUSION 2021 (Sürümü 2021.0.0.323925) ve üzeri
Uygulama Sunucuları İçin
JEE yüklemelerinde aşağıdaki JVM uyarısını ayarlayın, "-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**; !com.mysql.cj.jdbc.interceptors.**;!org.apache.commons.collections.**;"
kullanılan Uygulama Sunucusu’nun türüne göre belirli başlangıç dosyasında.
Örneğin:
Apache Tomcat Uygulama Sunucusu: ‘Catalina.bat/sh’ dosyasında JAVA_OPTS'u düzenleyin
WebLogic Uygulama Sunucusu: ‘startWeblogic.cmd’ dosyasında JAVA_OPTIONS'ı düzenleyin
WildFly/EAP Uygulama Sunucusu: ‘standalone.conf’ dosyasında JAVA_OPTS'u düzenleyin
ColdFusion JEE kurulumunda (tekli kurulumda değil) JVM bayraklarını ayarlayın.
Daha fazla bilgi için https://helpx.adobe.com/tr/security.html adresini ziyaret edin veya PSIRT@adobe.com adresine e-posta gönderin
