安全性公告 ID
上次更新時間
2026年1月21日
Adobe ColdFusion 安全性更新已提供 | APSB26-12
|
|
發布日期 |
優先順序 |
|
APSB26-12 |
2016 年 1 月 13 日 |
1 |
摘要
Adobe 已發布 ColdFusion 2025 和 2023 版本的安全性更新。此相依性更新解決了一項重大漏洞,該漏洞可能導致任意程式碼執行。
受影響的版本
|
產品 |
更新編號 |
平台 |
|
ColdFusion 2025 |
更新 5 和舊版 |
全部 |
|
ColdFusion 2023 |
更新 17 (含) 以前版本 |
全部 |
解決方法
Adobe 將這些更新歸類為以下的優先順序分級,並建議使用者將其安裝更新為最新版本:
註解:
基於安全原因,我們強烈建議您使用最新的 mysql java 連接器。 如需更多使用相關詳細資訊,請參閱: https://helpx.adobe.com/tw/coldfusion/kb/coldfusion-configuring-mysql-jdbc.html
請參閱更新的序列篩選文件,深入瞭解如何防止不安全的還原序列化攻擊:https://helpx.adobe.com/tw/coldfusion/kb/coldfusion-serialfilter-file.html
相依性更新
|
CVE 編號 |
相依性 |
漏洞影響 |
受影響的版本 |
|
CVE-2025-66516 |
Apache Tika |
任意執行程式碼 |
更新 5 及更早版本 更新 17 及舊版 |
鳴謝:
Adobe 在此感謝以下研究人員回報此問題,與 Adobe 共同保護我們的客戶:
- Brian Reilly (reillyb) -- CVE-2025-61808, CVE-2025-61809
- Nhien Pham (nhienit2010) -- CVE-2025-61812、CVE-2025-61822、CVE-2025-61823
- nbxiglk -- CVE-2025-61810、CVE-2025-61811、CVE-2025-61813、CVE-2025-61821、CVE-2025-61830
- Karol Mazurek (cr1m5on) -- CVE-2025-64897
- bytehacker_sg -- CVE-2025-64898
備註:Adobe 與 HackerOne 推出一個公開錯誤懸賞計畫。 如果您有興趣以外部安全研究人員身分與 Adobe 合作,請參考:https://hackerone.com/adobe
註解:
Adobe 建議您將 ColdFusion JDK/JRE LTS 更新至最新版本以建立安全防護。 ColdFusion 下載頁面將定期更新以根據下方矩陣提供最新版 Java 安裝程式以供您安裝所支援的 JDK 版本使用。
如要深入了解使用外部 JDK 的詳細說明,請查看〈變更 ColdFusion JVM〉。
Adobe 也建議套用 ColdFusion 安全性文件所提供的安全性組態設定,並檢閱個別的鎖定指南。
ColdFusion JDK 需求
COLDFUSION 2025(版本 2023.0.0.331385)及以上版本
針對應用程式伺服器
在 JEE 安裝環境中,請在所使用之應用程式伺服器類型對應的啟動檔中,設定下列 JVM 旗標:「-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**; !com.mysql.cj.jdbc.interceptors.**;!org.apache.commons.collections.**; 」 [portal.wordsonline](https://portal.wordsonline.com/#translator/70f50fce-7e9e-4a9d-8325-33c9c2377eae)
例如:
Apache Tomcat 應用程式伺服器:編輯「Catalina.bat/sh」檔案中的 JAVA_OPTS
WebLogic 應用程式伺服器:編輯「startWeblogic.cmd」檔案中的 JAVA_OPTIONS
WildFly/EAP 應用程式伺服器:編輯「standalone.conf」檔案中的 JAVA_OPTS
請在 ColdFusion 的 JEE 安裝版本上設定 JVM 旗標,而非獨立安裝版本。
COLDFUSION 2023(版本 2023.0.0.330468)及更新版本
針對應用程式伺服器
在 JEE 安裝時,請根據使用的應用程式伺服器類型,在對應的啟動檔案中設定下列 JVM 旗標:「-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**; !com.mysql.cj.jdbc.interceptors.**;!org.apache.commons.collections.**;」。
例如:
Apache Tomcat 應用程式伺服器:編輯「Catalina.bat/sh」檔案中的 JAVA_OPTS
WebLogic 應用程式伺服器:編輯「startWeblogic.cmd」檔案中的 JAVA_OPTIONS
WildFly/EAP 應用程式伺服器:編輯「standalone.conf」檔案中的 JAVA_OPTS
請在 ColdFusion 的 JEE 安裝版本上設定 JVM 旗標,而非獨立安裝版本。
如需詳細資訊,請造訪 https://helpx.adobe.com/tw/security.html,或傳送電子郵件至 PSIRT@adobe.com
