Boletim de segurança da Adobe

Pesquisar

Última atualização em 17 de jul de 2025

Atualizações de segurança disponíveis para o Adobe ColdFusion | APSB25-69

ID do boletim	Data de publicação	Prioridade
APSB25-69	8 de julho de 2025	1

Resumo

A Adobe lançou atualizações de segurança para as versões de 2025, 2023 e 2021 do ColdFusion. Essas atualizações resolvem vulnerabilidades críticas, importantes e moderadas que podiam levar a uma leitura arbitrária do sistema de arquivos, a uma execução arbitrária do código, ao escalonamento de privilégios, a uma evasão dos recursos de segurança e a uma negação de serviço do aplicativo.

 A Adobe não tem conhecimento de nenhuma exploração na Web de nenhum dos problemas abordados nestas atualizações.

Versões afetadas

Produto	Número da atualização	Plataforma
ColdFusion 2025	Atualização 2 de e versões anteriores	Todas
ColdFusion 2023	Atualização 14 e versões anteriores	Todas
ColdFusion 2021	Atualização 20 e versões anteriores	Todas

Solução

A Adobe classifica essas atualizações com a seguinte avaliação de prioridade e recomenda que os usuários atualizem suas instalações para as versões mais recentes:

Produto	Versão atualizada	Plataforma	Classificação de prioridade	Disponibilidade
ColdFusion 2025	Atualização 3	Todas	1	Nota técnica
ColdFusion 2023	Atualização 15	Todas	1	Nota técnica
ColdFusion 2021	Atualização 21	Todas	1	Nota técnica

Observação:

Por motivos de segurança, é altamente recomendável usar o conector java mysql mais recente. Para obter mais informações sobre o uso, consulte https://helpx.adobe.com/br/coldfusion/kb/coldfusion-configuring-mysql-jdbc.html

Consulte a documentação atualizada do filtro serial para obter mais detalhes sobre a proteção contra ataques de desserialização insegura do Wddx https://helpx.adobe.com/br/coldfusion/kb/coldfusion-serialfilter-file.html

Detalhes da vulnerabilidade

Categoria da vulnerabilidade	Impacto da vulnerabilidade	Severidade	Pontuação base de CVSS	Vetor CVSS	Números CVE
Restrição incorreta da referência de entidade externa do XML (‘XXE’) (CWE-611)	Leitura arbitrária do sistema de arquivos	Crítico	9.3	CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:N/A:L	CVE-2025-49535
Uso de credenciais com codificação rígida (CWE-798)	Escalonamento de privilégio	Crítico	8.8	CVSS:3.1/AV:A/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H	CVE-2025-49551
Autorização incorreta (CWE-863)	Falha de recurso de segurança	Crítico	8.1	CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N	CVE-2025-49536
Neutralização inadequada de elementos especiais usados em um comando de SO (“injeção de comando de SO”) (CWE-78)	Leitura arbitrária do sistema de arquivos	Crítico	8.1	CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:C/C:H/I:H/A:H	CVE-2025-49537
XML Injection (também conhecido como Blind XPath Injection) (CWE-91)	Leitura arbitrária do sistema de arquivos	Crítico	7.4	CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:H	CVE-2025-49538
Restrição incorreta da referência de entidade externa do XML (‘XXE’) (CWE-611)	Falha de recurso de segurança	Importante	6.5	CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N	CVE-2025-49539
Criação de script entre sites (XSS armazenado) (CWE-79)	Execução de código arbitrário	Importante	4.8	CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:N	CVE-2025-49540
Criação de script entre sites (XSS armazenado) (CWE-79)	Execução de código arbitrário	Importante	4.8	CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:N	CVE-2025-49541
Criação de script entre sites (XSS armazenado) (CWE-79)	Execução de código arbitrário	Importante	6.1	CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N	CVE-2025-49542
Criação de script entre sites (XSS armazenado) (CWE-79)	Execução de código arbitrário	Importante	4.8	CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:N	CVE-2025-49543
Restrição incorreta da referência de entidade externa do XML (‘XXE’) (CWE-611)	Falha de recurso de segurança	Importante	6.8	CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:N/A:N	CVE-2025-49544
Falsificação de solicitação do lado do servidor (SSRF) (CWE-918)	Leitura arbitrária do sistema de arquivos	Importante	6.8	CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:N/A:N	CVE-2025-49545
Controle de acesso impróprio (CWE-284)	Negação de serviço de aplicativo	Moderado	2.7	CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:L	CVE-2025-49546

Agradecimentos:

A Adobe gostaria de agradecer aos seguintes pesquisadores por terem relatado esse problema e trabalhado com a Adobe para ajudar a proteger nossos clientes:   

anonymous_blackzero - CVE-2025-49536, CVE-2025-49542, CVE-2025-49543, CVE-2025-49544
nbxiglk - CVE-2025-49535, CVE-2025-49537, CVE-2025-49551
Brian Reilly (reillyb) - CVE-2025-49539, CVE-2025-49545
the_predator - CVE-2025-49540, CVE-2025-49541
Ashish Dhone (ashketchum) - CVE-2025-49546
Nhien Pham (nhienit2010) - CVE-2025-49538

OBSERVAÇÃO: a Adobe tem um programa público de recompensa por erros com o HackerOne. Se você estiver interessado em trabalhar com a Adobe como pesquisador de segurança externo, consulte-nos aqui: https://hackerone.com/adobe

Observação:

A Adobe recomenda atualizar sua versão do JDK/JRE LTS do ColdFusion para a versão mais recente. A página de downloads do ColdFusion é atualizada regularmente para incluir os instaladores Java mais recentes da versão do JDK compatível com a instalação de acordo com as matrizes abaixo.

Para obter instruções sobre como usar um JDK externo, consulte Alterar JVM do ColdFusion.

A Adobe recomenda que os clientes apliquem as configurações de segurança incluída nas documentações de segurança do ColdFusion, além de revisar os respectivos guias de bloqueio.   

Requisito de JDK do ColdFusion

COLDFUSION 2025 (versão 2023.0.0.331385) e posterior
Para servidores de aplicativos

Em instalações JEE, defina o seguinte sinalizado JVM, “-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**; !com.mysql.cj.jdbc.interceptors.**;!org.apache.commons.collections.**; ” no respectivo arquivo de inicialização, dependendo do tipo de servidor de aplicativo usado.

Por exemplo:
Servidor de aplicativos Apache Tomcat: edite JAVA_OPTS no arquivo 'Catalina.bat/sh'
Servidor de aplicativos WebLogic: edite JAVA_OPTIONS no arquivo 'startWeblogic.cmd'
Servidor de aplicativos WildFly/EAP: edite JAVA_OPTS no arquivo 'standalone.conf'
Defina os sinalizadores JVM em uma instalação JEE do ColdFusion, não em uma instalação autônoma.

COLDFUSION 2023 (versão 2023.0.0.330468) e posterior
Para servidores de aplicativos

Em instalações JEE, defina o seguinte sinalizado JVM, “-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**; !com.mysql.cj.jdbc.interceptors.**;!org.apache.commons.collections.**;” no respectivo arquivo de inicialização, dependendo do tipo de servidor de aplicativo usado.

COLDFUSION 2021 (versão 2021.0.0.323925) e superior

Para servidores de aplicativos  

Em instalações do JEE, defina o seguinte sinalizador JVM: “-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**; !com.mysql.cj.jdbc.interceptors.**;!org.apache.commons.collections.**;”

no respectivo arquivo de inicialização, dependendo do tipo de servidor de aplicativos sendo usado.

Por exemplo:  

Servidor de aplicativos Apache Tomcat: edite JAVA_OPTS no arquivo "Catalina.bat/sh"  

Servidor de aplicativos WebLogic:  edite JAVA_OPTIONS no arquivo "startWeblogic.cmd"  

Servidor de aplicativos WildFly/EAP:  edite JAVA_OPTS no arquivo "standalone.conf"  

Defina os sinalizadores JVM em uma instalação de JEE de ColdFusion, não em uma instalação individual.  

Para mais informações, acesse https://helpx.adobe.com/br/security.html ou envie um email para PSIRT@adobe.com

Receba ajuda com mais rapidez e facilidade

Novo usuário?