Adobe-Sicherheitsbulletin

Sicherheitsupdates für Adobe ColdFusion verfügbar | APSB25-52

Bulletin-ID

Veröffentlichungsdatum

Priorität

APSB25-52

13. Mai 2025

1

Zusammenfassung

Adobe hat Sicherheitsupdates für die ColdFusion Version 2025, 2023 und 2021 veröffentlicht. Diese Updates beheben kritische und wichtige Sicherheitslücken, die zur willkürlichen Auslesung des Dateisystems, zu willkürlicher Codeausführung und zur Berechtigungsausweitung führen können.

 Adobe sind keine Fälle bekannt, in denen die in diesen Updates behobenen Sicherheitslücken ausgenutzt wurden.

Betroffene Versionen

Produkt

Updatenummer

Plattform

ColdFusion 2025

Update 1

Alle

ColdFusion 2023

Update 13 und frühere Versionen
  

Alle

ColdFusion 2021

Update 19 und ältere Versionen

Alle

Lösung

Adobe stuft die Priorität dieser Updates wie nachstehend ein und empfiehlt die Installation allen Anwendern:

Produkt

Aktualisierte Version

Plattform

Priorität

Verfügbarkeit

ColdFusion 2025

Update 2

Alle

1

ColdFusion 2023

Update 14

Alle

1

ColdFusion 2021

Update 20

Alle

1

Hinweis:

Aus Sicherheitsgründen wird dringend empfohlen, den neuesten MySQL-Java-Connector zu verwenden. Weitere Informationen über seine Verwendung finden Sie unter   https://helpx.adobe.com/coldfusion/kb/coldfusion-configuring-mysql-jdbc.html

Weitere Details zum Schutz vor Deserialisierungsangriffen auf unsicheres WDDX finden Sie in der aktualisierten Dokumentation zum Serialisierungsfilter https://helpx.adobe.com/de/coldfusion/kb/coldfusion-serialfilter-file.html

Sicherheitslückendetails

Sicherheitslückenkategorie

Sicherheitslückenauswirkung

Problemstufe

CVSS-Basispunktzahl 

CVE-Nummern

Unangemessene Eingabevalidierung (CWE-20)

Willkürlicher Dateisystem-Lesezugriff

Kritisch

9.1

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N

CVE-2025-43559

Unangemessene Eingabevalidierung (CWE-20)

Willkürliche Codeausführung

Kritisch

9.1

CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H

CVE-2025-43560

Unzulässige Zugriffskontrolle (CWE-284)

Willkürlicher Dateisystem-Lesezugriff

Kritisch

9.1

CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H

CVE-2025-43561

Unsachgemäße Neutralisierung von speziellen Elementen, die in einem OS-Befehl verwendet werden ("OS Command Injection") (CWE-78)

Willkürliche Codeausführung

Kritisch

9.1

CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H

CVE-2025-43562

Unzulässige Zugriffskontrolle (CWE-284)

Berechtigungsausweitung

Kritisch

9.1

CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H

CVE-2025-43563

Falsche Autorisierung (CWE-863)

Willkürliche Codeausführung

Kritisch

9.1

CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H

CVE-2025-43564

Unzulässige Zugriffskontrolle (CWE-284)

Willkürliche Codeausführung

Kritisch

8.4

CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:H/I:H/A:H

CVE-2025-43565

Unzulässige Beschränkung eines Pfadnamens auf ein eingeschränktes Verzeichnis („Pfadübergang“) (CWE-22)

Willkürlicher Dateisystem-Lesezugriff

Wichtig

6.8

CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:N/A:N

CVE-2025-43566

Danksagung:

Adobe bedankt sich bei den folgenden Forschern für das Melden dieser Schwachstellen und für die Zusammenarbeit mit Adobe zum Schutz der Sicherheit unserer Kunden.   

  • nbxiglk - CVE-2025-43561, CVE-2025-43563, CVE-2025-43564, CVE-2025-43566
  • Brian Reilly (reillyb) – CVE-2025-43559, CVE-2025-43560, CVE-2025-43562, CVE-2025-43565

HINWEIS: Adobe hat ein öffentliches Bug-Bounty-Programm mit HackerOne. Wenn Sie an einer Zusammenarbeit mit Adobe als externer Sicherheitsforscher interessiert sind, informieren Sie sich bitte hier: https://hackerone.com/adobe

Hinweis:

Adobe empfiehlt, als Sicherheitsmaßnahmen Ihre ColdFusion JDK/JRE LTS-Version auf die neueste Update-Version zu aktualisieren.Die Download-Seite für ColdFusion wird regelmäßig aktualisiert, um die neuesten Java-Installationsprogramme für die von Ihrer Installation unterstützte JDK-Version gemäß den nachstehenden Matrizen einzubeziehen. 

Anweisungen zur Verwendung eines externen JDK finden Sie unter ColdFusion JVM ändern

Adobe empfiehlt zudem, die Sicherheitskonfigurationseinstellungen zu verwenden, die in der ColdFusion-Dokumentation enthalten sind, und die Informationen in den jeweiligen Lockdown Guides beachten.    

ColdFusion JDK-Anforderung

COLDFUSION 2025 (Version 2023.0.0.331385) und höher
Für Anwendungsserver

In JEE-Installationen legen Sie entsprechend dem Typ des verwendeten Anwendungsservers das folgende JVM-Flag in der jeweiligen Startdatei fest: „-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**; !com.mysql.cj.jdbc.interceptors.**;!org.apache.commons.collections.**;“.

Beispiel:
Apache Tomcat Anwendungs-Server: Editieren Sie JAVA_OPTS in der Datei „Catalina.bat/sh“
WebLogic Anwendungs-Server: Editieren Sie JAVA_OPTIONS in der Datei „startWeblogic.cmd“
WildFly/EAP Anwendungs-Server: Editieren Sie JAVA_OPTS in der Datei „standalone.conf“
Setzen Sie die JVM-Flags bei einer JEE-Installation von ColdFusion, nicht bei einer Standalone-Installation.

 

COLDFUSION 2023 (Version 2023.0.0.330468) und höher
Für Anwendungs-Server

In JEE-Installationen legen Sie entsprechend dem Typ des verwendeten Anwendungs-Servers das folgende JVM-Flag in der jeweiligen Startdatei fest: „-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**; !com.mysql.cj.jdbc.interceptors.**;!org.apache.commons.collections.**;“.

Beispiel:
Apache Tomcat Anwendungs-Server: Editieren Sie JAVA_OPTS in der Datei „Catalina.bat/sh“
WebLogic Anwendungs-Server: Editieren Sie JAVA_OPTIONS in der Datei „startWeblogic.cmd“
WildFly/EAP Anwendungs-Server: Editieren Sie JAVA_OPTS in der Datei „standalone.conf“
Setzen Sie die JVM-Flags bei einer JEE-Installation von ColdFusion, nicht bei einer Standalone-Installation.

 

COLDFUSION 2021 (Version 2021.0.0.323925) und höher

Für Anwendungs-Server   

Setzen Sie in JEE-Installationen das JVM-Flag „-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**; !com.mysql.cj.jdbc.interceptors.**;!org.apache.commons.collections.**;

in der Startdatei des verwendeten Anwendungs-Servers.

Beispiel:   

Apache Tomcat Anwendungs-Server: Bearbeiten Sie JAVA_OPTS in der Datei „Catalina.bat/sh“   

WebLogic Anwendungs-Server:  Bearbeiten Sie JAVA_OPTIONS in der Datei „startWeblogic.cmd“   

WildFly/EAP Anwendungs-Server:  Bearbeiten Sie die JAVA_OPTS in der Datei „standalone.conf“   

Setzen Sie die JVM-Flags in einer JEE-Installation von ColdFusion, nicht in einer eigenständigen Installation.   


Weitere Informationen erhalten Sie unter https://helpx.adobe.com/de/security.html oder per E-Mail an PSIRT@adobe.com 

Schneller und einfacher Hilfe erhalten

Neuer Benutzer?