Bülten No
Son güncelleme:
24 Nis 2026
Adobe ColdFusion için için güvenlik güncellemeleri mevcut | APSB26-38
|
|
Yayınlandığı Tarih |
Öncelik |
|
APSB26-38 |
14 Nisan 2026 |
1 |
Özet
Adobe, ColdFusion 2025 ve 2023 sürümleri için güvenlik güncellemeleri yayınladı. Bu güncellemeler, rastgele kod yürütülmesine, uygulama hizmet reddine, rastgele sistem dosyası okunmasına ve güvenlik özelliği sızıntısına yol açabilecek kritik ve orta düzeydeki güvenlik açıklarını giderir.
Adobe, bu güncellemelerde ele alınan sorunların şirket dışında yaşandığına dair bir duyum almamıştır.
Etkilenen Sürümler
|
Ürün |
Güncelleme numarası |
Platform |
|
ColdFusion 2025 |
6 ve daha önceki sürümleri güncelle |
Tümü |
|
ColdFusion 2023 |
Güncelleme 18 ve önceki sürümler |
Tümü |
Çözüm
Adobe, bu güncellemeleri aşağıdaki öncelik derecelendirmelerine göre sınıflandırır ve kullanıcıların yüklemelerini en yeni sürümlere güncellemelerini önerir:
|
Ürün |
Güncel sürüm |
Platform |
Öncelik derecelendirmesi |
Bulunma Durumu |
|---|---|---|---|---|
|
ColdFusion 2025 |
Güncelleme 7 |
Tümü |
1 |
|
|
ColdFusion 2023 |
Güncelleme 19 |
Tümü |
1 |
Not:
Güvenlik nedeniyle en son MySQL Java bağlayıcısını kullanmanızı şiddetle öneririz. Kullanımı hakkında daha fazla bilgi için lütfen bkz.: https://helpx.adobe.com/tr/coldfusion/kb/coldfusion-configuring-mysql-jdbc.html
Güvenli olmayan seri durumundan çıkarma saldırılarına karşı koruma hakkında daha fazla bilgi için güncellenmiş seri filtre belgelerine bakın: https://helpx.adobe.com/tr/coldfusion/kb/coldfusion-serialfilter-file.html
Güvenlik Açığı Detayları
|
Güvenlik Açığı Kategorisi |
Güvenlik Açığı Etkisi |
Önem Derecesi |
CVSS baz skoru |
CVE Numaraları |
|
|
Bir Yol Adının Kısıtlı Bir Dizinle Uygunsuz Şekilde Sınırlanması ('Yol Geçişi') (CWE-22) |
Güvenlik özelliği atlatması |
Kritik |
7.7 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:N/I:N/A:H |
CVE-2026-34619 |
|
Uygunsuz Giriş Doğrulaması (CWE-20) |
Rastgele kod yürütme |
Kritik |
9.3 |
CVSS:3.1/AV:A/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:N |
CVE-2026-27304 |
|
Bir Yol Adının Kısıtlı Bir Dizinle Uygunsuz Şekilde Sınırlanması ('Yol Geçişi') (CWE-22) |
Rastgele sistem dosyası okunması |
Kritik |
8.6 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:N/A:N |
CVE-2026-27305 |
|
Uygunsuz Giriş Doğrulaması (CWE-20) |
Güvenlik özelliği atlatması |
Kritik |
7.5 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N |
CVE-2026-27282 |
|
Uygunsuz Giriş Doğrulaması (CWE-20) |
Rastgele kod yürütme |
Kritik |
8.4 |
CVSS:3.1/AV:A/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H |
CVE-2026-27306 |
|
Kontrolsüz Kaynak Tüketimi (CWE-400) |
Uygulama hizmet engelleme |
Orta Dereceli |
2.4 |
CVSS:3.1/AV:A/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:L |
CVE-2026-27307 |
|
Kontrolsüz Kaynak Tüketimi (CWE-400) |
Uygulama hizmet engelleme |
Orta Dereceli |
2.4 |
CVSS:3.1/AV:A/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:L |
CVE-2026-27308 |
Teşekkür:
Adobe, bu sorunu bildirdikleri ve müşterilerimizin korunmasına yardımcı olmak için Adobe ile çalıştıkları için aşağıdaki araştırmacılara teşekkür eder:
- AnirudhAnand (a0xnirudh) -- CVE-2026-27304
- nbxiglk -- CVE-2026-27306
- TrendAI Research ile çalışan Jonathan Lein -- CVE-2026-27282, CVE-2026-34619, CVE-2026-27305
- Idris_Tester092004 (tester092004) -- CVE-2026-27307, CVE-2026-27308
NOT: Adobe'nin HackerOne ile herkese açık hata ödül programı vardır. Adobe ile harici bir güvenlik araştırmacısı olarak çalışmakla ilgileniyorsanız lütfen https://hackerone.com/adobe sayfasına göz atın.
Not:
Adobe, güvenli bir uygulama olarak ColdFusion JDK/JRE LTS sürümünüzü en son güncelleme sürümüne güncellemenizi önerir. ColdFusion indirme sayfası, aşağıdaki matrislere göre kurulumunuzun desteklediği JDK sürümü için en son Java yükleyicilerini içerecek şekilde düzenli olarak güncellenir.
Harici bir JDK'nın nasıl kullanılacağına ilişkin talimatlar için ColdFusion JVM'yi Değiştirme bölümüne bakın.
Ayrıca Adobe, güvenlik yapılandırma ayarlarının ColdFusion Güvenlik sayfasında belirtildiği şekilde uygulanmasını ve ilgili Kilitleme kılavuzlarının gözden geçirilmesini önerir.
ColdFusion JDK Gerekliliği
COLDFUSION 2025 (sürüm 2023.0.0.331385) ve üzeri
Uygulama Sunucuları için
JEE kurulumlarında, hangi Uygulama Sunucusu türü kullanılırsa kullanılsın şu JVM uyarısını ayarlayın: “-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**; !com.mysql.cj.jdbc.interceptors.**;!org.apache.commons.collections.**;".
Örneğin:
Apache Tomcat Uygulama Sunucusu: 'Catalina.bat/sh' dosyasında JAVA_OPTS'u düzenleyin
WebLogic Uygulama Sunucusu: 'startWeblogic.cmd' dosyasında JAVA_OPTIONS'u düzenleyin
WildFly/EAP Uygulama Sunucusu: 'standalone.conf' dosyasında JAVA_OPTS'u düzenleyin
JVM uyarılarını ColdFusion'ın JEE kurulumunda ayarlayın, bağımsız bir kurulumda değil.
COLDFUSION 2023 (sürüm 2023.0.0.330468) ve üzeri
Uygulama Sunucuları için
JEE kurulumlarında, hangi Uygulama Sunucusu türü kullanılırsa kullanılsın şu JVM uyarısını ayarlayın: “-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**; !com.mysql.cj.jdbc.interceptors.**;!org.apache.commons.collections.**;".
Örneğin:
Apache Tomcat Uygulama Sunucusu: 'Catalina.bat/sh' dosyasında JAVA_OPTS'u düzenleyin
WebLogic Uygulama Sunucusu: 'startWeblogic.cmd' dosyasında JAVA_OPTIONS'u düzenleyin
WildFly/EAP Uygulama Sunucusu: 'standalone.conf' dosyasında JAVA_OPTS'u düzenleyin
JVM uyarılarını ColdFusion'ın JEE kurulumunda ayarlayın, bağımsız bir kurulumda değil.
COLDFUSION 2021 (Sürümü 2021.0.0.323925) ve üzeri
Uygulama Sunucuları İçin
JEE yüklemelerinde şu JVM uyarısını ayarlayın: “-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**; !com.mysql.cj.jdbc.interceptors.**;!org.apache.commons.collections.**;"
kullanılan Uygulama Sunucusu’nun türüne göre belirli başlangıç dosyasında.
Örneğin:
Apache Tomcat Uygulama Sunucusu: ‘Catalina.bat/sh’ dosyasında JAVA_OPTS'u düzenleyin
WebLogic Uygulama Sunucusu: ‘startWeblogic.cmd’ dosyasında JAVA_OPTIONS'ı düzenleyin
WildFly/EAP Uygulama Sunucusu: ‘standalone.conf’ dosyasında JAVA_OPTS'u düzenleyin
ColdFusion JEE kurulumunda (tekli kurulumda değil) JVM bayraklarını ayarlayın.
Daha fazla bilgi için https://helpx.adobe.com/tr/security.html adresini ziyaret edin veya PSIRT@adobe.com adresine e-posta gönderin
