Bülten No
Son güncelleme:
17 Haz 2026
Adobe ColdFusion için güvenlik güncellemesi mevcut | APSB26-64
|
|
Yayınlandığı Tarih |
Öncelik |
|
APSB26-64 |
9 Haziran 2026 |
1 |
Özet
Adobe, ColdFusion 2025 ve 2023 sürümleri için güvenlik güncellemeleri yayınladı. Bu güncellemeler, rastgele kod yürütülmesine, ayrıcalık yükseltmeye, rastgele sistem dosyası okunmasına ve güvenlik özelliği sızıntısına yol açabilecek kritik ve önemli güvenlik açıklarını gidermektedir.
Adobe, bu güncellemelerde ele alınan sorunların şirket dışında yaşandığına dair bir duyum almamıştır.
Etkilenen Sürümler
|
Ürün |
Güncelleme numarası |
Platform |
|
ColdFusion 2025 |
8 ve daha önceki sürümleri güncelle |
Tümü |
|
ColdFusion 2023 |
Güncelleme 19 ve önceki sürümler |
Tümü |
Çözüm
Adobe, bu güncellemeleri aşağıdaki öncelik derecelendirmelerine göre sınıflandırır ve kullanıcıların yüklemelerini en yeni sürümlere güncellemelerini önerir:
|
Ürün |
Güncel sürüm |
Platform |
Öncelik derecelendirmesi |
Bulunma Durumu |
|---|---|---|---|---|
|
ColdFusion 2025 |
Güncelleme 9 |
Tümü |
1 |
|
|
ColdFusion 2023 |
Güncelleme 20 |
Tümü |
1 |
Not
Güvenlik nedeniyle en son MySQL Java bağlayıcısını kullanmanızı şiddetle öneririz. Kullanımı hakkında daha fazla bilgi için lütfen bkz.: https://helpx.adobe.com/tr/coldfusion/kb/coldfusion-configuring-mysql-jdbc.html
Güvenli olmayan seri durumundan çıkarma saldırılarına karşı koruma hakkında daha fazla bilgi için güncellenmiş seri filtre belgelerine bakın: https://helpx.adobe.com/tr/coldfusion/kb/coldfusion-serialfilter-file.html
Güvenlik Açığı Detayları
| Güvenlik Açığı Kategorisi | Güvenlik Açığı Etkisi | Önem Derecesi | CVSS baz skoru | CVSS vektörü | CVE Numarası |
| Uygunsuz Giriş Doğrulaması (CWE-20) | Rastgele kod yürütme | Kritik | 9.6 | CVSS:3.1/AV:A/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H | CVE-2026-47928 |
| Bir Yol Adının Kısıtlı Bir Dizinle Uygunsuz Şekilde Sınırlanması ('Yol Geçişi') (CWE-22) | Güvenlik özelliği atlatması | Kritik | 8.8 | CVSS:3.1/AV:A/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H | CVE-2026-47932 |
| Yanlış Yetkilendirme(CWE-863) | Ayrıcalığı yükseltme | Kritik | 8.4 | CVSS:3.1/AV:A/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H | CVE-2026-47929 |
| Uygunsuz Giriş Doğrulaması (CWE-20) | Rastgele kod yürütme | Kritik | 8.4 | CVSS:3.1/AV:A/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H | CVE-2026-47931 |
| Uygunsuz Giriş Doğrulaması (CWE-20) | Rastgele kod yürütme | Kritik | 8.1 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N | CVE-2026-47930 |
| Improper Restriction of XML External Entity Reference ('XXE') (CWE-611) | Rastgele sistem dosyası okunması | Kritik | 7.4 | CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:N/A:N | CVE-2026-47960 |
| Siteler Arası Betik (Depolanan XSS) (CWE-79) | Rastgele kod yürütme | Önemli | 4.8 | CVSS:3.1/AV:A/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2026-47933 |
Teşekkür:
Adobe, bu sorunu bildirdikleri ve müşterilerimizin korunmasına yardımcı olmak için Adobe ile çalıştıkları için aşağıdaki araştırmacılara teşekkür eder:
- AnirudhAnand (a0xnirudh) - CVE-2026-47928, CVE-2026-47932, CVE-2026-47933
- Sneharghya (sneharghyaroy) - CVE-2026-47929
- Nbxiglk - CVE-2026-47931, CVE-2026-47960
- Sapra - CVE-2026-47930
NOT: Adobe'nin HackerOne ile herkese açık hata ödül programı vardır. Adobe ile harici bir güvenlik araştırmacısı olarak çalışmakla ilgileniyorsanız lütfen https://hackerone.com/adobe sayfasına göz atın.
Not
Adobe, güvenli bir uygulama olarak ColdFusion JDK/JRE LTS sürümünüzü en son güncelleme sürümüne güncellemenizi önerir. ColdFusion indirme sayfası, aşağıdaki matrislere göre kurulumunuzun desteklediği JDK sürümü için en son Java yükleyicilerini içerecek şekilde düzenli olarak güncellenir.
Harici bir JDK'nın nasıl kullanılacağına ilişkin talimatlar için ColdFusion JVM'yi Değiştirme bölümüne bakın.
Ayrıca Adobe, güvenlik yapılandırma ayarlarının ColdFusion Güvenlik sayfasında belirtildiği şekilde uygulanmasını ve ilgili Kilitleme kılavuzlarının gözden geçirilmesini önerir.
ColdFusion JDK Gerekliliği
COLDFUSION 2025 (sürüm 2023.0.0.331385) ve üzeri
Uygulama Sunucuları için
JEE kurulumlarında, hangi Uygulama Sunucusu türü kullanılırsa kullanılsın şu JVM uyarısını ayarlayın: “-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**; !com.mysql.cj.jdbc.interceptors.**;!org.apache.commons.collections.**;".
Örneğin:
Apache Tomcat Uygulama Sunucusu: 'Catalina.bat/sh' dosyasında JAVA_OPTS'u düzenleyin
WebLogic Uygulama Sunucusu: 'startWeblogic.cmd' dosyasında JAVA_OPTIONS'u düzenleyin
WildFly/EAP Uygulama Sunucusu: 'standalone.conf' dosyasında JAVA_OPTS'u düzenleyin
JVM uyarılarını ColdFusion'ın JEE kurulumunda ayarlayın, bağımsız bir kurulumda değil.
COLDFUSION 2023 (sürüm 2023.0.0.330468) ve üzeri
Uygulama Sunucuları için
JEE kurulumlarında, hangi Uygulama Sunucusu türü kullanılırsa kullanılsın şu JVM uyarısını ayarlayın: “-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**; !com.mysql.cj.jdbc.interceptors.**;!org.apache.commons.collections.**;".
Örneğin:
Apache Tomcat Uygulama Sunucusu: 'Catalina.bat/sh' dosyasında JAVA_OPTS'u düzenleyin
WebLogic Uygulama Sunucusu: 'startWeblogic.cmd' dosyasında JAVA_OPTIONS'u düzenleyin
WildFly/EAP Uygulama Sunucusu: 'standalone.conf' dosyasında JAVA_OPTS'u düzenleyin
JVM uyarılarını ColdFusion'ın JEE kurulumunda ayarlayın, bağımsız bir kurulumda değil.
COLDFUSION 2021 (Sürümü 2021.0.0.323925) ve üzeri
Uygulama Sunucuları İçin
JEE yüklemelerinde şu JVM uyarısını ayarlayın: “-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**; !com.mysql.cj.jdbc.interceptors.**;!org.apache.commons.collections.**;"
kullanılan Uygulama Sunucusu’nun türüne göre belirli başlangıç dosyasında.
Örneğin:
Apache Tomcat Uygulama Sunucusu: ‘Catalina.bat/sh’ dosyasında JAVA_OPTS'u düzenleyin
WebLogic Uygulama Sunucusu: ‘startWeblogic.cmd’ dosyasında JAVA_OPTIONS'ı düzenleyin
WildFly/EAP Uygulama Sunucusu: ‘standalone.conf’ dosyasında JAVA_OPTS'u düzenleyin
ColdFusion JEE kurulumunda (tekli kurulumda değil) JVM bayraklarını ayarlayın.
Daha fazla bilgi için https://helpx.adobe.com/tr/security.html adresini ziyaret edin veya PSIRT@adobe.com adresine e-posta gönderin
