Adobe Güvenlik Bülteni

Adobe ColdFusion için güvenlik güncellemeleri | APSB25-93

Bülten No

Yayınlandığı Tarih

Öncelik

APSB25-93

9 Eylül 2025

1

Özet

Adobe, ColdFusion sürümleri 2025, 2023 ve 2021 için güvenlik güncellemeleri yayımladı. Bu güncellemeler, rastgele dosya sistemi yazmaya yol açabilecek kritik bir güvenlik açığını çözer.

 Adobe, bu güncellemelerde ele alınan sorunların şirket dışında yaşandığına dair bir duyum almamıştır.

Etkilenen Sürümler

Ürün

Güncelleme numarası

Platform

ColdFusion 2025

Güncelleme 3 ve önceki sürümler

Tümü

ColdFusion 2023

15 ve önceki sürümleri güncelleme
  

Tümü

ColdFusion 2021

21 ve önceki sürümleri güncelleme

Tümü

Çözüm

Adobe, bu güncellemeleri aşağıdaki öncelik derecelendirmelerine göre sınıflandırır ve kullanıcıların yüklemelerini en yeni sürümlere güncellemelerini önerir:

Ürün

Güncel sürüm

Platform

Öncelik derecelendirmesi

Bulunma Durumu

ColdFusion 2025

Güncelleme 4

Tümü

1

ColdFusion 2023

Güncelleme 16

Tümü

1

ColdFusion 2021

22 Güncelleme

Tümü

1

Not:

Güvenlik nedeniyle en son MySQL Java bağlayıcısını kullanmanızı şiddetle öneririz. Kullanımı hakkında daha fazla bilgi için   lütfen bkz. https://helpx.adobe.com/tr/coldfusion/kb/coldfusion-configuring-mysql-jdbc.html

Güvenli olmayan Wddx seri durumundan çıkarma saldırılarına karşı koruma hakkında daha fazla bilgi için güncellenmiş seri filtre belgelerine bakın https://helpx.adobe.com/tr/coldfusion/kb/coldfusion-serialfilter-file.html

Güvenlik Açığı Detayları

Güvenlik Açığı Kategorisi

Güvenlik Açığı Etkisi

Önem Derecesi

CVSS baz skoru 

CVE Numaraları

Bir Yol Adının Kısıtlı Bir Dizinle Uygunsuz Şekilde Sınırlanması ('Yol Geçişi') (CWE-22)

Rastgele sistem dosyası yazılması

Kritik

10.0

 

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H

CVE-2025-54261

Teşekkür:

Adobe, bu sorunu bildirdikleri ve müşterilerimizin korunmasına yardımcı olmak için Adobe ile çalıştıkları için aşağıdaki araştırmacılara teşekkür eder:   

  • Nhien Pham (nhienit2010) - CVE-2025-54261

NOT: Adobe'nin HackerOne ile herkese açık hata ödül programı vardır. Adobe ile harici bir güvenlik araştırmacısı olarak çalışmakla ilgileniyorsanız lütfen https://hackerone.com/adobe sayfasına göz atın.

Not:

Adobe, güvenli bir uygulama olarak ColdFusion JDK/JRE LTS sürümünüzü en son güncelleme sürümüne güncellemenizi önerir. ColdFusion indirme sayfası, aşağıdaki matrislere göre kurulumunuzun desteklediği JDK sürümü için en son Java yükleyicilerini içerecek şekilde düzenli olarak güncellenir. 

Harici bir JDK'nın nasıl kullanılacağına ilişkin talimatlar için ColdFusion JVM'yi Değiştirme bölümüne bakın. 

Ayrıca Adobe, güvenlik yapılandırma ayarlarının ColdFusion Güvenlik sayfasında belirtildiği şekilde uygulanmasını ve ilgili Kilitleme kılavuzlarının gözden geçirilmesini önerir.    

ColdFusion JDK Gerekliliği

COLDFUSION 2025 (sürüm 2023.0.0.331385) ve üzeri
Uygulama Sunucuları için

JEE kurulumlarında, hangi Uygulama Sunucusu türü kullanılırsa kullanılsın şu JVM uyarısını ayarlayın: “-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**; !com.mysql.cj.jdbc.interceptors.**;!org.apache.commons.collections.**;".

Örneğin:
Apache Tomcat Uygulama Sunucusu: 'Catalina.bat/sh' dosyasında JAVA_OPTS'u düzenleyin
WebLogic Uygulama Sunucusu: 'startWeblogic.cmd' dosyasında JAVA_OPTIONS'u düzenleyin
WildFly/EAP Uygulama Sunucusu: 'standalone.conf' dosyasında JAVA_OPTS'u düzenleyin
JVM uyarılarını ColdFusion'ın JEE kurulumunda ayarlayın, bağımsız bir kurulumda değil.

 

COLDFUSION 2023 (sürüm 2023.0.0.330468) ve üzeri
Uygulama Sunucuları için

JEE kurulumlarında, hangi Uygulama Sunucusu türü kullanılırsa kullanılsın şu JVM uyarısını ayarlayın: “-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**; !com.mysql.cj.jdbc.interceptors.**;!org.apache.commons.collections.**;".

Örneğin:
Apache Tomcat Uygulama Sunucusu: 'Catalina.bat/sh' dosyasında JAVA_OPTS'u düzenleyin
WebLogic Uygulama Sunucusu: 'startWeblogic.cmd' dosyasında JAVA_OPTIONS'u düzenleyin
WildFly/EAP Uygulama Sunucusu: 'standalone.conf' dosyasında JAVA_OPTS'u düzenleyin
JVM uyarılarını ColdFusion'ın JEE kurulumunda ayarlayın, bağımsız bir kurulumda değil.

 

COLDFUSION 2021 (Sürümü 2021.0.0.323925) ve üzeri

Uygulama Sunucuları İçin   

JEE yüklemelerinde şu JVM uyarısını ayarlayın: “-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**; !com.mysql.cj.jdbc.interceptors.**;!org.apache.commons.collections.**;"

kullanılan Uygulama Sunucusu’nun türüne göre belirli başlangıç dosyasında.

Örneğin:   

Apache Tomcat Uygulama Sunucusu: ‘Catalina.bat/sh’ dosyasında JAVA_OPTS'u düzenleyin   

WebLogic Uygulama Sunucusu: ‘startWeblogic.cmd’ dosyasında JAVA_OPTIONS'ı düzenleyin   

WildFly/EAP Uygulama Sunucusu: ‘standalone.conf’ dosyasında JAVA_OPTS'u düzenleyin   

ColdFusion JEE kurulumunda (tekli kurulumda değil) JVM bayraklarını ayarlayın.   


Daha fazla bilgi için https://helpx.adobe.com/tr/security.html adresini ziyaret edin veya PSIRT@adobe.com adresine e-posta gönderin 

Adobe, Inc.

Daha hızlı ve daha kolay yardım alın

Yeni kullanıcı mısınız?