Bulletin-ID
Zuletzt aktualisiert am
17. Juli 2025
Sicherheitsupdates für Adobe ColdFusion verfügbar | APSB25-69
|
|
Veröffentlichungsdatum |
Priorität |
|
APSB25-69 |
8. Juli 2025 |
1 |
Zusammenfassung
Adobe hat Sicherheitsupdates für die ColdFusion Version 2025, 2023 und 2021 veröffentlicht. Diese Updates beheben kritische, wichtige und moderate Sicherheitslücken, die zur willkürlichen Auslesung des Dateisystems, zu willkürlicher Codeausführung, zur Berechtigungsausweitung, zur Umgehung von Sicherheitsfunktionen und zu Denial-of-Service-Angriffen führen können.
Adobe sind keine Fälle bekannt, in denen die in diesen Updates behobenen Sicherheitslücken ausgenutzt wurden.
Betroffene Versionen
|
Produkt |
Updatenummer |
Plattform |
|
ColdFusion 2025 |
Update 2 und ältere Versionen |
Alle |
|
ColdFusion 2023 |
Update 14 und frühere Versionen |
Alle |
|
ColdFusion 2021 |
Update 20 und ältere Versionen |
Alle |
Lösung
Adobe stuft die Priorität dieser Updates wie nachstehend ein und empfiehlt die Installation allen Anwendern:
|
Produkt |
Aktualisierte Version |
Plattform |
Priorität |
Verfügbarkeit |
|---|---|---|---|---|
|
ColdFusion 2025 |
Update 3 |
Alle |
1 |
|
|
ColdFusion 2023 |
Update 15 |
Alle |
1 |
|
|
ColdFusion 2021 |
Update 21 |
Alle |
1 |
Hinweis:
Aus Sicherheitsgründen wird dringend empfohlen, den neuesten MySQL-Java-Connector zu verwenden. Weitere Informationen über seine Verwendung finden Sie unter https://helpx.adobe.com/coldfusion/kb/coldfusion-configuring-mysql-jdbc.html
Weitere Details zum Schutz vor Deserialisierungsangriffen auf unsicheres WDDX finden Sie in der aktualisierten Dokumentation zum Serialisierungsfilter https://helpx.adobe.com/de/coldfusion/kb/coldfusion-serialfilter-file.html
Sicherheitslückendetails
|
Sicherheitslückenkategorie |
Sicherheitslückenauswirkung |
Problemstufe |
CVSS-Basispunktzahl |
CVE-Nummern |
|
|
Nicht ordnungsgemäße Eingrenzung externer XML-Entitätsreferenzen ('XXE') (CWE-611) |
Willkürlicher Dateisystem-Lesezugriff |
Kritisch |
9.3 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:N/A:L |
CVE-2025-49535 |
|
Verwendung hartkodierter Anmeldeinformationen (CWE-798) |
Berechtigungsausweitung |
Kritisch |
8.8 |
CVSS:3.1/AV:A/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
CVE-2025-49551 |
|
Falsche Autorisierung (CWE-863) |
Umgehung der Sicherheitsfunktionen |
Kritisch |
8.1 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N |
CVE-2025-49536 |
|
Unsachgemäße Neutralisierung von speziellen Elementen, die in einem OS-Befehl verwendet werden ("OS Command Injection") (CWE-78) |
Willkürlicher Dateisystem-Lesezugriff |
Kritisch |
8.1 |
CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:C/C:H/I:H/A:H |
CVE-2025-49537 |
|
XML-Injektion (auch Blind XPath-Injektion) (CWE-91) |
Willkürlicher Dateisystem-Lesezugriff |
Kritisch |
7.4 |
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:H |
CVE-2025-49538 |
|
Nicht ordnungsgemäße Eingrenzung externer XML-Entitätsreferenzen ('XXE') (CWE-611) |
Umgehung der Sicherheitsfunktionen |
Wichtig |
6.5 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N |
CVE-2025-49539 |
|
Cross-Site-Scripting (beständiges XSS) (CWE-79) |
Willkürliche Codeausführung |
Wichtig |
4.8 |
CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:N |
CVE-2025-49540 |
|
Cross-Site-Scripting (beständiges XSS) (CWE-79) |
Willkürliche Codeausführung |
Wichtig |
4.8 |
CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:N |
CVE-2025-49541 |
|
Cross-Site-Scripting (beständiges XSS) (CWE-79) |
Willkürliche Codeausführung |
Wichtig |
6.1 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N |
CVE-2025-49542 |
|
Cross-Site-Scripting (beständiges XSS) (CWE-79) |
Willkürliche Codeausführung |
Wichtig |
4.8 |
CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:N |
CVE-2025-49543 |
|
Nicht ordnungsgemäße Eingrenzung externer XML-Entitätsreferenzen ('XXE') (CWE-611) |
Umgehung der Sicherheitsfunktionen |
Wichtig |
6.8 |
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:N/A:N |
CVE-2025-49544 |
|
Server-Side Request Forgery (SSRF) (CWE-918) |
Willkürlicher Dateisystem-Lesezugriff |
Wichtig |
6.8 |
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:N/A:N |
CVE-2025-49545 |
|
Unzulässige Zugriffskontrolle (CWE-284) |
Denial-of-Service-Angriff auf Anwendungsebene |
Mittel |
2.7 |
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:L |
CVE-2025-49546 |
Danksagung:
Adobe bedankt sich bei den folgenden Forschern für das Melden dieser Schwachstellen und für die Zusammenarbeit mit Adobe zum Schutz der Sicherheit unserer Kunden.
- anonymous_blackzero – CVE-2025-49536, CVE-2025-49542, CVE-2025-49543, CVE-2025-49544
- nbxiglk – CVE-2025-49535, CVE-2025-49537, CVE-2025-49551
- Brian Reilly (reillyb) – CVE-2025-49539, CVE-2025-49545
- the_predator - CVE-2025-49540, CVE-2025-49541
- Ashish Dhone (ashketchum) – CVE-2025-49546
- Nhien Pham (nhienit2010) - CVE-2025-49538
HINWEIS: Adobe hat ein öffentliches Bug-Bounty-Programm mit HackerOne. Wenn Sie an einer Zusammenarbeit mit Adobe als externer Sicherheitsforscher interessiert sind, informieren Sie sich bitte hier: https://hackerone.com/adobe
Hinweis:
Adobe empfiehlt, als Sicherheitsmaßnahmen Ihre ColdFusion JDK/JRE LTS-Version auf die neueste Update-Version zu aktualisieren. Die Download-Seite für ColdFusion wird regelmäßig aktualisiert, um die neuesten Java-Installationsprogramme für die von Ihrer Installation unterstützte JDK-Version gemäß den nachstehenden Matrizen einzubeziehen.
- Supportmatrix für ColdFusion 2025
- Supportmatrix für ColdFusion 2023
- Supportmatrix für ColdFusion 2021
Anweisungen zur Verwendung eines externen JDK finden Sie unter ColdFusion JVM ändern.
Adobe empfiehlt zudem, die Sicherheitskonfigurationseinstellungen zu verwenden, die in der ColdFusion-Dokumentation enthalten sind, und die Informationen in den jeweiligen Lockdown Guides beachten.
ColdFusion JDK-Anforderung
COLDFUSION 2025 (Version 2023.0.0.331385) und höher
Für Anwendungsserver
In JEE-Installationen legen Sie entsprechend dem Typ des verwendeten Anwendungsservers das folgende JVM-Flag in der jeweiligen Startdatei fest: „-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**; !com.mysql.cj.jdbc.interceptors.**;!org.apache.commons.collections.**;“.
Beispiel:
Apache Tomcat Anwendungs-Server: Editieren Sie JAVA_OPTS in der Datei „Catalina.bat/sh“
WebLogic Anwendungs-Server: Editieren Sie JAVA_OPTIONS in der Datei „startWeblogic.cmd“
WildFly/EAP Anwendungs-Server: Editieren Sie JAVA_OPTS in der Datei „standalone.conf“
Setzen Sie die JVM-Flags bei einer JEE-Installation von ColdFusion, nicht bei einer Standalone-Installation.
COLDFUSION 2023 (Version 2023.0.0.330468) und höher
Für Anwendungs-Server
In JEE-Installationen legen Sie entsprechend dem Typ des verwendeten Anwendungs-Servers das folgende JVM-Flag in der jeweiligen Startdatei fest: „-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**; !com.mysql.cj.jdbc.interceptors.**;!org.apache.commons.collections.**;“.
Beispiel:
Apache Tomcat Anwendungs-Server: Editieren Sie JAVA_OPTS in der Datei „Catalina.bat/sh“
WebLogic Anwendungs-Server: Editieren Sie JAVA_OPTIONS in der Datei „startWeblogic.cmd“
WildFly/EAP Anwendungs-Server: Editieren Sie JAVA_OPTS in der Datei „standalone.conf“
Setzen Sie die JVM-Flags bei einer JEE-Installation von ColdFusion, nicht bei einer Standalone-Installation.
COLDFUSION 2021 (Version 2021.0.0.323925) und höher
Für Anwendungs-Server
Setzen Sie in JEE-Installationen das JVM-Flag „-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**; !com.mysql.cj.jdbc.interceptors.**;!org.apache.commons.collections.**;“
in der Startdatei des verwendeten Anwendungs-Servers.
Beispiel:
Apache Tomcat Anwendungs-Server: Bearbeiten Sie JAVA_OPTS in der Datei „Catalina.bat/sh“
WebLogic Anwendungs-Server: Bearbeiten Sie JAVA_OPTIONS in der Datei „startWeblogic.cmd“
WildFly/EAP Anwendungs-Server: Bearbeiten Sie die JAVA_OPTS in der Datei „standalone.conf“
Setzen Sie die JVM-Flags in einer JEE-Installation von ColdFusion, nicht in einer eigenständigen Installation.
Weitere Informationen erhalten Sie unter https://helpx.adobe.com/de/security.html oder per E-Mail an PSIRT@adobe.com
