Adobe Güvenlik Bülteni

Adobe ColdFusion için güvenlik güncellemeleri mevcut | APSB26-68

Bülten No

Yayınlandığı Tarih

Öncelik

APSB26-68

30 Haziran 2026

1

Özet

Adobe, ColdFusion 2025 ve 2023 sürümleri için güvenlik güncellemeleri yayınladı. Bu güncellemeler, rastgele kod yürütülmesine, ayrıcalık yükseltmeye, rastgele sistem dosyası okunmasına ve güvenlik özelliği sızıntısına yol açabilecek kritik ve önemli güvenlik açıklarını gidermektedir.

 Adobe, bu güncellemelerde ele alınan sorunların şirket dışında yaşandığına dair bir duyum almamıştır.

Etkilenen Sürümler

Ürün

Güncelleme numarası

Platform

ColdFusion 2025

9 ve daha önceki sürümleri güncelle

Tümü

ColdFusion 2023

Güncelleme 20 ve önceki sürümler
  

Tümü

Çözüm

Adobe, bu güncellemeleri aşağıdaki öncelik derecelendirmelerine göre sınıflandırır ve kullanıcıların yüklemelerini en yeni sürümlere güncellemelerini önerir:

Ürün

Güncel sürüm

Platform

Öncelik derecelendirmesi

Bulunma Durumu

ColdFusion 2025

Güncelleme 10

Tümü

1

ColdFusion 2023

Güncelleme 21

Tümü

1

Not

Güvenlik nedeniyle en son MySQL Java bağlayıcısını kullanmanızı şiddetle öneririz. Kullanımı hakkında daha fazla bilgi için lütfen bkz.: https://helpx.adobe.com/tr/coldfusion/kb/coldfusion-configuring-mysql-jdbc.html

 Güvenli olmayan seri durumundan çıkarma saldırılarına karşı koruma hakkında daha fazla bilgi için güncellenmiş seri filtre belgelerine bakın: https://helpx.adobe.com/tr/coldfusion/kb/coldfusion-serialfilter-file.html

Güvenlik Açığı Detayları

Güvenlik Açığı Kategorisi Güvenlik Açığı Etkisi Önem Derecesi CVSS baz skoru CVSS vektörü CVE Numarası
Tehlikeli Türde Dosyaların Kısıtlamasız Yüklenmesi (CWE-434) Rastgele kod yürütme Kritik 10.0 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H CVE-2026-48276
Uygunsuz Giriş Doğrulaması (CWE-20) Rastgele kod yürütme Kritik 10.0 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H CVE-2026-48277
Uygunsuz Giriş Doğrulaması (CWE-20) Rastgele kod yürütme Kritik 10.0 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H CVE-2026-48281
Uygunsuz Giriş Doğrulaması (CWE-20) Rastgele kod yürütme Kritik 10.0 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:N CVE-2026-48316
Bir Yol Adının Kısıtlı Bir Dizinle Uygunsuz Şekilde Sınırlanması ('Yol Geçişi') (CWE-22) Rastgele kod yürütme Kritik 10.0 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H CVE-2026-48282
Tehlikeli Türde Dosyaların Kısıtlamasız Yüklenmesi (CWE-434) Rastgele kod yürütme Kritik 10.0 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H CVE-2026-48283
Bir Yol Adının Kısıtlı Bir Dizinle Uygunsuz Şekilde Sınırlanması ('Yol Geçişi') (CWE-22) Rastgele sistem dosyası okunması Kritik 9.3 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:L/A:N CVE-2026-48313
Uygunsuz Giriş Doğrulaması (CWE-20) Ayrıcalığı yükseltme Kritik 9.3 CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:N CVE-2026-48315
Cross-site Scripting (Reflected XSS) (CWE-79) Rastgele kod yürütme Kritik 8.8 CVSS:3.1/AV:A/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H CVE-2026-48307
Sunucu Tarafı İstek Sahteciliği (SSRF) (CWE-918) Güvenlik özelliği atlatması Kritik 8.6 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:N/A:N CVE-2026-48285
Bir Yol Adının Kısıtlı Bir Dizinle Uygunsuz Şekilde Sınırlanması ('Yol Geçişi') (CWE-22) Ayrıcalığı yükseltme Önemli 6.5 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N CVE-2026-48314

Teşekkür:

Adobe, bu sorunu bildirdikleri ve müşterilerimizin korunmasına yardımcı olmak için Adobe ile çalıştıkları için aşağıdaki araştırmacılara teşekkür eder:   

  • AnirudhAnand (a0xnirudh) - CVE-2026-48283, CVE-2026-48313
  • Matan Sandori (matans1) ve 2Bsecure - CVE-2026-48307

NOT: Adobe'nin HackerOne ile herkese açık hata ödül programı vardır. Adobe ile harici bir güvenlik araştırmacısı olarak çalışmakla ilgileniyorsanız lütfen https://hackerone.com/adobe sayfasına göz atın.

Not

Adobe, güvenli bir uygulama olarak ColdFusion JDK/JRE LTS sürümünüzü en son güncelleme sürümüne güncellemenizi önerir. ColdFusion indirme sayfası, aşağıdaki matrislere göre kurulumunuzun desteklediği JDK sürümü için en son Java yükleyicilerini içerecek şekilde düzenli olarak güncellenir. 

Harici bir JDK'nın nasıl kullanılacağına ilişkin talimatlar için ColdFusion JVM'yi Değiştirme bölümüne bakın. 

Ayrıca Adobe, güvenlik yapılandırma ayarlarının ColdFusion Güvenlik sayfasında belirtildiği şekilde uygulanmasını ve ilgili Kilitleme kılavuzlarının gözden geçirilmesini önerir.    

ColdFusion JDK Gerekliliği

COLDFUSION 2025 (sürüm 2023.0.0.331385) ve üzeri
Uygulama Sunucuları için

JEE kurulumlarında, hangi Uygulama Sunucusu türü kullanılırsa kullanılsın şu JVM uyarısını ayarlayın: “-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**; !com.mysql.cj.jdbc.interceptors.**;!org.apache.commons.collections.**;".

Örneğin:
Apache Tomcat Uygulama Sunucusu: 'Catalina.bat/sh' dosyasında JAVA_OPTS'u düzenleyin
WebLogic Uygulama Sunucusu: 'startWeblogic.cmd' dosyasında JAVA_OPTIONS'u düzenleyin
WildFly/EAP Uygulama Sunucusu: 'standalone.conf' dosyasında JAVA_OPTS'u düzenleyin
JVM uyarılarını ColdFusion'ın JEE kurulumunda ayarlayın, bağımsız bir kurulumda değil.

 

COLDFUSION 2023 (sürüm 2023.0.0.330468) ve üzeri
Uygulama Sunucuları için

JEE kurulumlarında, hangi Uygulama Sunucusu türü kullanılırsa kullanılsın şu JVM uyarısını ayarlayın: “-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**; !com.mysql.cj.jdbc.interceptors.**;!org.apache.commons.collections.**;".

Örneğin:
Apache Tomcat Uygulama Sunucusu: 'Catalina.bat/sh' dosyasında JAVA_OPTS'u düzenleyin
WebLogic Uygulama Sunucusu: 'startWeblogic.cmd' dosyasında JAVA_OPTIONS'u düzenleyin
WildFly/EAP Uygulama Sunucusu: 'standalone.conf' dosyasında JAVA_OPTS'u düzenleyin
JVM uyarılarını ColdFusion'ın JEE kurulumunda ayarlayın, bağımsız bir kurulumda değil.

 

COLDFUSION 2021 (Sürümü 2021.0.0.323925) ve üzeri

Uygulama Sunucuları İçin   

JEE yüklemelerinde şu JVM uyarısını ayarlayın: “-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**; !com.mysql.cj.jdbc.interceptors.**;!org.apache.commons.collections.**;"

kullanılan Uygulama Sunucusu’nun türüne göre belirli başlangıç dosyasında.

Örneğin:   

Apache Tomcat Uygulama Sunucusu: ‘Catalina.bat/sh’ dosyasında JAVA_OPTS'u düzenleyin   

WebLogic Uygulama Sunucusu: ‘startWeblogic.cmd’ dosyasında JAVA_OPTIONS'ı düzenleyin   

WildFly/EAP Uygulama Sunucusu: ‘standalone.conf’ dosyasında JAVA_OPTS'u düzenleyin   

ColdFusion JEE kurulumunda (tekli kurulumda değil) JVM bayraklarını ayarlayın.   


Daha fazla bilgi için https://helpx.adobe.com/tr/security.html adresini ziyaret edin veya PSIRT@adobe.com adresine e-posta gönderin 

Adobe, Inc.

Daha hızlı ve daha kolay yardım alın

Yeni kullanıcı mısınız?