ID do boletim
Última atualização em
6 de jun de 2025
Atualizações de segurança disponíveis para o Adobe ColdFusion | APSB25-52
|
|
Data de publicação |
Prioridade |
|
APSB25-52 |
13 de maio de 2025 |
1 |
Resumo
A Adobe lançou atualizações de segurança para as versões 2025, 2023 e 2021 do ColdFusion. Essas atualizações resolvem vulnerabilidades críticas e importantes que poderiam levar à leitura arbitrária do sistema de arquivos, à execução de código arbitrário e ao escalonamento de privilégios.
A Adobe não tem conhecimento de nenhuma exploração na Web de nenhum dos problemas abordados nestas atualizações.
Versões afetadas
|
Produto |
Número da atualização |
Plataforma |
|
ColdFusion 2025 |
Atualização 1 |
Todas |
|
ColdFusion 2023 |
Atualização 13 e versões anteriores |
Todas |
|
ColdFusion 2021 |
Atualização 19 e versões anteriores |
Todas |
Solução
A Adobe classifica essas atualizações com a seguinte avaliação de prioridade e recomenda que os usuários atualizem suas instalações para as versões mais recentes:
|
Produto |
Versão atualizada |
Plataforma |
Classificação de prioridade |
Disponibilidade |
|---|---|---|---|---|
|
ColdFusion 2025 |
Atualização 2 |
Todas |
1 |
|
|
ColdFusion 2023 |
Atualização 14 |
Todas |
1 |
|
|
ColdFusion 2021 |
Atualização 20 |
Todas |
1 |
Observação:
Por motivos de segurança, é altamente recomendável usar o conector java mysql mais recente. Para obter mais informações sobre o uso, consulte https://helpx.adobe.com/br/coldfusion/kb/coldfusion-configuring-mysql-jdbc.html
Consulte a documentação atualizada do filtro serial para obter mais detalhes sobre a proteção contra ataques de desserialização insegura do Wddx https://helpx.adobe.com/br/coldfusion/kb/coldfusion-serialfilter-file.html
Detalhes da vulnerabilidade
|
Categoria da vulnerabilidade |
Impacto da vulnerabilidade |
Severidade |
Pontuação base de CVSS |
Números CVE |
|
|
Validação de entrada inadequada (CWE-20) |
Leitura arbitrária do sistema de arquivos |
Crítico |
9.1 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N |
CVE-2025-43559 |
|
Validação de entrada inadequada (CWE-20) |
Execução de código arbitrário |
Crítico |
9.1 |
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H |
CVE-2025-43560 |
|
Controle de acesso impróprio (CWE-284) |
Leitura arbitrária do sistema de arquivos |
Crítico |
9.1 |
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H |
CVE-2025-43561 |
|
Neutralização inadequada de elementos especiais usados em um comando de SO (“injeção de comando de SO”) (CWE-78) |
Execução de código arbitrário |
Crítico |
9.1 |
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H |
CVE-2025-43562 |
|
Controle de acesso impróprio (CWE-284) |
Escalonamento de privilégios |
Crítico |
9.1 |
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H |
CVE-2025-43563 |
|
Autorização incorreta (CWE-863) |
Execução de código arbitrário |
Crítico |
9.1 |
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H |
CVE-2025-43564 |
|
Controle de acesso impróprio (CWE-284) |
Execução de código arbitrário |
Crítico |
8.4 |
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H |
CVE-2025-43565 |
|
Limitação incorreta de um nome de caminho para um diretório restrito ("Caminho transversal") (CWE-22) |
Leitura arbitrária do sistema de arquivos |
Importante |
6.8 |
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:N/A:N |
CVE-2025-43566 |
Agradecimentos:
A Adobe gostaria de agradecer aos seguintes pesquisadores por terem relatado esse problema e trabalhado com a Adobe para ajudar a proteger nossos clientes:
- nbxiglk - CVE-2025-43561, CVE-2025-43563, CVE-2025-43564, CVE-2025-43566
- Brian Reilly (reillyb) – CVE-2025-43559, CVE-2025-43560, CVE-2025-43562, CVE-2025-43565
OBSERVAÇÃO: a Adobe tem um programa público de recompensa por erros com o HackerOne. Se você estiver interessado em trabalhar com a Adobe como pesquisador de segurança externo, consulte-nos aqui: https://hackerone.com/adobe
Observação:
A Adobe recomenda atualizar sua versão do JDK/JRE LTS do ColdFusion para a versão mais recente. A página de downloads do ColdFusion é atualizada regularmente para incluir os instaladores Java mais recentes da versão do JDK compatível com a instalação de acordo com as matrizes abaixo.
- Matriz de suporte do ColdFusion 2025
- Matriz de suporte do ColdFusion 2023
- Matriz de suporte do ColdFusion 2021
Para obter instruções sobre como usar um JDK externo, consulte Alterar JVM do ColdFusion.
A Adobe recomenda que os clientes apliquem as configurações de segurança incluída nas documentações de segurança do ColdFusion, além de revisar os respectivos guias de bloqueio.
Requisito de JDK do ColdFusion
COLDFUSION 2025 (versão 2023.0.0.331385) e posterior
Para servidores de aplicativos
Em instalações JEE, defina o seguinte sinalizado JVM, “-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**; !com.mysql.cj.jdbc.interceptors.**;!org.apache.commons.collections.**; ” no respectivo arquivo de inicialização, dependendo do tipo de servidor de aplicativo usado.
Por exemplo:
Servidor de aplicativos Apache Tomcat: edite JAVA_OPTS no arquivo 'Catalina.bat/sh'
Servidor de aplicativos WebLogic: edite JAVA_OPTIONS no arquivo 'startWeblogic.cmd'
Servidor de aplicativos WildFly/EAP: edite JAVA_OPTS no arquivo 'standalone.conf'
Defina os sinalizadores JVM em uma instalação JEE do ColdFusion, não em uma instalação autônoma.
COLDFUSION 2023 (versão 2023.0.0.330468) e posterior
Para servidores de aplicativos
Em instalações JEE, defina o seguinte sinalizado JVM, “-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**; !com.mysql.cj.jdbc.interceptors.**;!org.apache.commons.collections.**;” no respectivo arquivo de inicialização, dependendo do tipo de servidor de aplicativo usado.
Por exemplo:
Servidor de aplicativos Apache Tomcat: edite JAVA_OPTS no arquivo 'Catalina.bat/sh'
Servidor de aplicativos WebLogic: edite JAVA_OPTIONS no arquivo 'startWeblogic.cmd'
Servidor de aplicativos WildFly/EAP: edite JAVA_OPTS no arquivo 'standalone.conf'
Defina os sinalizadores JVM em uma instalação JEE do ColdFusion, não em uma instalação autônoma.
COLDFUSION 2021 (versão 2021.0.0.323925) e superior
Para servidores de aplicativos
Em instalações do JEE, defina o seguinte sinalizador JVM: “-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**; !com.mysql.cj.jdbc.interceptors.**;!org.apache.commons.collections.**;”
no respectivo arquivo de inicialização, dependendo do tipo de servidor de aplicativos sendo usado.
Por exemplo:
Servidor de aplicativos Apache Tomcat: edite JAVA_OPTS no arquivo "Catalina.bat/sh"
Servidor de aplicativos WebLogic: edite JAVA_OPTIONS no arquivo "startWeblogic.cmd"
Servidor de aplicativos WildFly/EAP: edite JAVA_OPTS no arquivo "standalone.conf"
Defina os sinalizadores JVM em uma instalação de JEE de ColdFusion, não em uma instalação individual.
Para mais informações, acesse https://helpx.adobe.com/br/security.html ou envie um email para PSIRT@adobe.com
