Bülten No
Son güncelleme:
21 Oca 2026
Adobe ColdFusion için güvenlik güncellemeleri mevcut | APSB26-12
|
|
Yayınlandığı Tarih |
Öncelik |
|
APSB26-12 |
13 Ocak 2026 |
1 |
Özet
Adobe, ColdFusion 2025 ve 2023 sürümleri için güvenlik güncellemeleri yayımladı. Bu destek güncellemeleri, rastgele kod yürütmeye neden olabilecek kritik bir güvenlik açığını gidermektedir.
Etkilenen Sürümler
|
Ürün |
Güncelleme numarası |
Platform |
|
ColdFusion 2025 |
5 ve önceki sürümleri güncelle |
Tümü |
|
ColdFusion 2023 |
17 ve önceki sürümleri güncelle |
Tümü |
Çözüm
Adobe, bu güncellemeleri aşağıdaki öncelik derecelendirmelerine göre sınıflandırır ve kullanıcıların yüklemelerini en yeni sürümlere güncellemelerini önerir:
|
Ürün |
Güncel sürüm |
Platform |
Öncelik derecelendirmesi |
Bulunma Durumu |
|---|---|---|---|---|
|
ColdFusion 2025 |
Güncelleme 6 |
Tümü |
1 |
|
|
ColdFusion 2023 |
Güncelleme 18 |
Tümü |
1 |
Not:
Güvenlik nedeniyle en son MySQL Java bağlayıcısını kullanmanızı şiddetle öneririz. Kullanımı hakkında daha fazla bilgi için lütfen bkz.: https://helpx.adobe.com/tr/coldfusion/kb/coldfusion-configuring-mysql-jdbc.html
Güvenli olmayan seri durumundan çıkarma saldırılarına karşı koruma hakkında daha fazla bilgi için güncellenmiş seri filtre belgelerine bakın: https://helpx.adobe.com/tr/coldfusion/kb/coldfusion-serialfilter-file.html
Bağlılıklarda güncelleme
|
CVE Numarası |
Bağlılık |
Güvenlik Açığı Etkisi |
Etkilenen Sürümler |
|
CVE-2025-66516 |
Apache Tika |
Rastgele kod yürütme |
5 ve önceki sürümleri güncelle 17 ve önceki sürümleri güncelle |
Daha fazla bilgi için lütfen https://lists.apache.org/thread/s5x3k93nhbkqzztp1olxotoyjpdlps9k sayfasını ziyaret edin
Teşekkür:
Adobe, bu sorunu bildirdikleri ve müşterilerimizin korunmasına yardımcı olmak için Adobe ile çalıştıkları için aşağıdaki araştırmacılara teşekkür eder:
- Brian Reilly (reillyb) -- CVE-2025-61808, CVE-2025-61809
- Nhien Pham (nhienit2010) -- CVE-2025-61812, CVE-2025-61822, CVE-2025-61823
- nbxiglk -- CVE-2025-61810, CVE-2025-61811, CVE-2025-61813, CVE-2025-61821, CVE-2025-61830
- Karol Mazurek (cr1m5on) -- CVE-2025-64897
- bytehacker_sg -- CVE-2025-64898
NOT: Adobe'nin HackerOne ile herkese açık hata ödül programı vardır. Adobe ile harici bir güvenlik araştırmacısı olarak çalışmakla ilgileniyorsanız lütfen https://hackerone.com/adobe sayfasına göz atın.
Not:
Adobe, güvenli bir uygulama olarak ColdFusion JDK/JRE LTS sürümünüzü en son güncelleme sürümüne güncellemenizi önerir. ColdFusion indirme sayfası, aşağıdaki matrislere göre kurulumunuzun desteklediği JDK sürümü için en son Java yükleyicilerini içerecek şekilde düzenli olarak güncellenir.
Harici bir JDK'nın nasıl kullanılacağına ilişkin talimatlar için ColdFusion JVM'yi Değiştirme bölümüne bakın.
Ayrıca Adobe, güvenlik yapılandırma ayarlarının ColdFusion Güvenlik sayfasında belirtildiği şekilde uygulanmasını ve ilgili Kilitleme kılavuzlarının gözden geçirilmesini önerir.
ColdFusion JDK Gerekliliği
COLDFUSION 2025 (sürüm 2023.0.0.331385) ve üzeri
Uygulama Sunucuları için
JEE kurulumlarında, kullanılan Uygulama Sunucusunun türüne bağlı olarak ilgili başlangıç dosyasında şu JVM bayrağını ayarlayın: “-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**; !com.mysql.cj.jdbc.interceptors.**;!org.apache.commons.collections.**;".
Örneğin:
Apache Tomcat Uygulama Sunucusu: ‘Catalina.bat/sh’ dosyasında JAVA_OPTS’i düzenleyin
WebLogic Uygulama Sunucusu: ‘startWeblogic.cmd’ dosyasında JAVA_OPTIONS’ı düzenleyin
WildFly/EAP Uygulama Sunucusu: ‘standalone.conf’ dosyasında JAVA_OPTS’i düzenleyin
JVM bayraklarını, ColdFusion’ın bağımsız bir kurulumda değil JEE kurulumunda ayarlayın.
COLDFUSION 2023 (sürüm 2023.0.0.330468) ve üzeri
Uygulama Sunucuları için
JEE kurulumlarında, kullanılan Uygulama Sunucusunun türüne bağlı olarak ilgili başlangıç dosyasında şu JVM bayrağını ayarlayın: “-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**; !com.mysql.cj.jdbc.interceptors.**;!org.apache.commons.collections.**;".
Örneğin:
Apache Tomcat Uygulama Sunucusu: ‘Catalina.bat/sh’ dosyasında JAVA_OPTS’i düzenleyin
WebLogic Uygulama Sunucusu: ‘startWeblogic.cmd’ dosyasında JAVA_OPTIONS’ı düzenleyin
WildFly/EAP Uygulama Sunucusu: ‘standalone.conf’ dosyasında JAVA_OPTS’i düzenleyin
JVM bayraklarını, ColdFusion’ın bağımsız bir kurulumda değil JEE kurulumunda ayarlayın.
Daha fazla bilgi için https://helpx.adobe.com/tr/security.html adresini ziyaret edin veya PSIRT@adobe.com adresine e-posta gönderin
