Bulletin-ID
Zuletzt aktualisiert am
6. Juni 2025
Sicherheitsupdates für Adobe ColdFusion verfügbar | APSB25-52
|
|
Veröffentlichungsdatum |
Priorität |
|
APSB25-52 |
13. Mai 2025 |
1 |
Zusammenfassung
Adobe hat Sicherheitsupdates für die ColdFusion Version 2025, 2023 und 2021 veröffentlicht. Diese Updates beheben kritische und wichtige Sicherheitslücken, die zur willkürlichen Auslesung des Dateisystems, zu willkürlicher Codeausführung und zur Berechtigungsausweitung führen können.
Adobe sind keine Fälle bekannt, in denen die in diesen Updates behobenen Sicherheitslücken ausgenutzt wurden.
Betroffene Versionen
|
Produkt |
Updatenummer |
Plattform |
|
ColdFusion 2025 |
Update 1 |
Alle |
|
ColdFusion 2023 |
Update 13 und frühere Versionen |
Alle |
|
ColdFusion 2021 |
Update 19 und ältere Versionen |
Alle |
Lösung
Adobe stuft die Priorität dieser Updates wie nachstehend ein und empfiehlt die Installation allen Anwendern:
|
Produkt |
Aktualisierte Version |
Plattform |
Priorität |
Verfügbarkeit |
|---|---|---|---|---|
|
ColdFusion 2025 |
Update 2 |
Alle |
1 |
|
|
ColdFusion 2023 |
Update 14 |
Alle |
1 |
|
|
ColdFusion 2021 |
Update 20 |
Alle |
1 |
Hinweis:
Aus Sicherheitsgründen wird dringend empfohlen, den neuesten MySQL-Java-Connector zu verwenden. Weitere Informationen über seine Verwendung finden Sie unter https://helpx.adobe.com/coldfusion/kb/coldfusion-configuring-mysql-jdbc.html
Weitere Details zum Schutz vor Deserialisierungsangriffen auf unsicheres WDDX finden Sie in der aktualisierten Dokumentation zum Serialisierungsfilter https://helpx.adobe.com/de/coldfusion/kb/coldfusion-serialfilter-file.html
Sicherheitslückendetails
|
Sicherheitslückenkategorie |
Sicherheitslückenauswirkung |
Problemstufe |
CVSS-Basispunktzahl |
CVE-Nummern |
|
|
Unangemessene Eingabevalidierung (CWE-20) |
Willkürlicher Dateisystem-Lesezugriff |
Kritisch |
9.1 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N |
CVE-2025-43559 |
|
Unangemessene Eingabevalidierung (CWE-20) |
Willkürliche Codeausführung |
Kritisch |
9.1 |
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H |
CVE-2025-43560 |
|
Unzulässige Zugriffskontrolle (CWE-284) |
Willkürlicher Dateisystem-Lesezugriff |
Kritisch |
9.1 |
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H |
CVE-2025-43561 |
|
Unsachgemäße Neutralisierung von speziellen Elementen, die in einem OS-Befehl verwendet werden ("OS Command Injection") (CWE-78) |
Willkürliche Codeausführung |
Kritisch |
9.1 |
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H |
CVE-2025-43562 |
|
Unzulässige Zugriffskontrolle (CWE-284) |
Berechtigungsausweitung |
Kritisch |
9.1 |
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H |
CVE-2025-43563 |
|
Falsche Autorisierung (CWE-863) |
Willkürliche Codeausführung |
Kritisch |
9.1 |
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H |
CVE-2025-43564 |
|
Unzulässige Zugriffskontrolle (CWE-284) |
Willkürliche Codeausführung |
Kritisch |
8.4 |
CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:H/I:H/A:H |
CVE-2025-43565 |
|
Unzulässige Beschränkung eines Pfadnamens auf ein eingeschränktes Verzeichnis („Pfadübergang“) (CWE-22) |
Willkürlicher Dateisystem-Lesezugriff |
Wichtig |
6.8 |
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:N/A:N |
CVE-2025-43566 |
Danksagung:
Adobe bedankt sich bei den folgenden Forschern für das Melden dieser Schwachstellen und für die Zusammenarbeit mit Adobe zum Schutz der Sicherheit unserer Kunden.
- nbxiglk - CVE-2025-43561, CVE-2025-43563, CVE-2025-43564, CVE-2025-43566
- Brian Reilly (reillyb) – CVE-2025-43559, CVE-2025-43560, CVE-2025-43562, CVE-2025-43565
HINWEIS: Adobe hat ein öffentliches Bug-Bounty-Programm mit HackerOne. Wenn Sie an einer Zusammenarbeit mit Adobe als externer Sicherheitsforscher interessiert sind, informieren Sie sich bitte hier: https://hackerone.com/adobe
Hinweis:
Adobe empfiehlt, als Sicherheitsmaßnahmen Ihre ColdFusion JDK/JRE LTS-Version auf die neueste Update-Version zu aktualisieren.Die Download-Seite für ColdFusion wird regelmäßig aktualisiert, um die neuesten Java-Installationsprogramme für die von Ihrer Installation unterstützte JDK-Version gemäß den nachstehenden Matrizen einzubeziehen.
- Supportmatrix für ColdFusion 2025
- Supportmatrix für ColdFusion 2023
- Supportmatrix für ColdFusion 2021
Anweisungen zur Verwendung eines externen JDK finden Sie unter ColdFusion JVM ändern.
Adobe empfiehlt zudem, die Sicherheitskonfigurationseinstellungen zu verwenden, die in der ColdFusion-Dokumentation enthalten sind, und die Informationen in den jeweiligen Lockdown Guides beachten.
ColdFusion JDK-Anforderung
COLDFUSION 2025 (Version 2023.0.0.331385) und höher
Für Anwendungsserver
In JEE-Installationen legen Sie entsprechend dem Typ des verwendeten Anwendungsservers das folgende JVM-Flag in der jeweiligen Startdatei fest: „-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**; !com.mysql.cj.jdbc.interceptors.**;!org.apache.commons.collections.**;“.
Beispiel:
Apache Tomcat Anwendungs-Server: Editieren Sie JAVA_OPTS in der Datei „Catalina.bat/sh“
WebLogic Anwendungs-Server: Editieren Sie JAVA_OPTIONS in der Datei „startWeblogic.cmd“
WildFly/EAP Anwendungs-Server: Editieren Sie JAVA_OPTS in der Datei „standalone.conf“
Setzen Sie die JVM-Flags bei einer JEE-Installation von ColdFusion, nicht bei einer Standalone-Installation.
COLDFUSION 2023 (Version 2023.0.0.330468) und höher
Für Anwendungs-Server
In JEE-Installationen legen Sie entsprechend dem Typ des verwendeten Anwendungs-Servers das folgende JVM-Flag in der jeweiligen Startdatei fest: „-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**; !com.mysql.cj.jdbc.interceptors.**;!org.apache.commons.collections.**;“.
Beispiel:
Apache Tomcat Anwendungs-Server: Editieren Sie JAVA_OPTS in der Datei „Catalina.bat/sh“
WebLogic Anwendungs-Server: Editieren Sie JAVA_OPTIONS in der Datei „startWeblogic.cmd“
WildFly/EAP Anwendungs-Server: Editieren Sie JAVA_OPTS in der Datei „standalone.conf“
Setzen Sie die JVM-Flags bei einer JEE-Installation von ColdFusion, nicht bei einer Standalone-Installation.
COLDFUSION 2021 (Version 2021.0.0.323925) und höher
Für Anwendungs-Server
Setzen Sie in JEE-Installationen das JVM-Flag „-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**; !com.mysql.cj.jdbc.interceptors.**;!org.apache.commons.collections.**;“
in der Startdatei des verwendeten Anwendungs-Servers.
Beispiel:
Apache Tomcat Anwendungs-Server: Bearbeiten Sie JAVA_OPTS in der Datei „Catalina.bat/sh“
WebLogic Anwendungs-Server: Bearbeiten Sie JAVA_OPTIONS in der Datei „startWeblogic.cmd“
WildFly/EAP Anwendungs-Server: Bearbeiten Sie die JAVA_OPTS in der Datei „standalone.conf“
Setzen Sie die JVM-Flags in einer JEE-Installation von ColdFusion, nicht in einer eigenständigen Installation.
Weitere Informationen erhalten Sie unter https://helpx.adobe.com/de/security.html oder per E-Mail an PSIRT@adobe.com
