Adobe sikkerhedsbulletin

Sikkerhedsopdateringer til Adobe ColdFusion | APSB25-52

Bulletin-ID

Udgivelsesdato

Prioritet

APSB25-52

13. maj 2025

1

Resumé

Adobe har udgivet sikkerhedsopdateringer til ColdFusion-versionerne 2025, 2023 og 2021. Disse opdateringer løser kritiske og vigtige sikkerhedsproblemer, der kan føre til vilkårlig filsystemlæsning, eksekvering af skadelige koder og eskalering af privilegier.

 Adobe er ikke bekendt med, at der skulle være exploits i omløb for nogen af de problemer, der behandles i disse opdateringer.

Berørte versioner

Produkt

Opdateringsnummer

Platform

ColdFusion 2025

Opdatering 1

Alle

ColdFusion 2023

Opdatering 13 og tidligere versioner
  

Alle

ColdFusion 2021

Opdatering 19 og tidligere versioner

Alle

Løsning

Adobe kategoriserer disse opdateringer med følgende prioritetsgrader og anbefaler, at brugere opdaterer deres installationer til de nyeste versioner:

Produkt

Opdateret version

Platform

Prioritetsgrad

Tilgængelighed

ColdFusion 2025

Opdatering 2

Alle

1

ColdFusion 2023

Opdatering 14

Alle

1

ColdFusion 2021

Opdatering 20

Alle

1

Bemærk:

Af sikkerhedsmæssige årsager anbefaler vi på det kraftigste at bruge den nyeste mysql java connector. Læs mere  på https://helpx.adobe.com/coldfusion/kb/coldfusion-configuring-mysql-jdbc.html

Se den opdaterede dokumentation til det serielle filter for flere detaljer om beskyttelse mod usikre Wddx-deserialiseringsangreb https://helpx.adobe.com/dk/coldfusion/kb/coldfusion-serialfilter-file.html

Sikkerhedsoplysninger

Sikkerhedskategori

Virkning af sikkerhedsproblem

Alvorlighed

CVSS-basisscore 

CVE-numre

Ukorrekt input-validering (CWE-20)

Vilkårlig filsystem-læsning

Kritisk

9.1

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N

CVE-2025-43559

Ukorrekt input-validering (CWE-20)

Vilkårlig kodekørsel

Kritisk

9.1

CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H

CVE-2025-43560

Ukorrekt adgangskontrol (CWE-284)

Vilkårlig filsystem-læsning

Kritisk

9.1

CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H

CVE-2025-43561

Ukorrekt neutralisering af særlige elementer, der bruges i en OS-kommando ('OS Command Injection') (CWE-78)

Vilkårlig kodekørsel

Kritisk

9.1

CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H

CVE-2025-43562

Ukorrekt adgangskontrol (CWE-284)

Eskalering af rettigheder

Kritisk

9.1

CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H

CVE-2025-43563

Ukorrekt autorisation (CWE-863)

Vilkårlig kodekørsel

Kritisk

9.1

CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H

CVE-2025-43564

Ukorrekt adgangskontrol (CWE-284)

Vilkårlig kodekørsel

Kritisk

8.4

CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:H/I:H/A:H

CVE-2025-43565

Ukorrekt begrænsning af et stinavn til et begrænset bibliotek ('stioverskridelse') (CWE-22)

Vilkårlig filsystem-læsning

Vigtig

6.8

CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:N/A:N

CVE-2025-43566

Tak til følgende personer:

Adobe vil gerne takke følgende researchere for at rapportere dette sikkerhedsproblem og for at samarbejde med Adobe for at beskytte vores leverandører:   

  • nbxiglk – CVE-2025-43561, CVE-2025-43563, CVE-2025-43564, CVE-2025-43566
  • Brian Reilly (reillyb) – CVE-2025-43559, CVE-2025-43560, CVE-2025-43562, CVE-2025-43565

BEMÆRK: Adobe og HackerOne har indgået et samarbejde til rapportering af programfejl. Hvis du er interesseret i at arbejde med Adobe som ekstern sikkerhedsforsker, kan du tjekke os ud på: https://hackerone.com/adobe

Bemærk:

Adobe anbefaler, at du som en sikkerhedsforanstaltning opdaterer din ColdFusion JDK/JRE LTS-version til den senest opdaterede version. ColdFusion-downloadsiden opdateres regelmæssigt for at inkludere de nyeste Java-installationsprogrammer til den JDK-version, som din installation understøtter i henhold til nedenstående skemaer. 

Se Skift ColdFusion JVM for at få instruktioner om, hvordan du bruger en ekstern JDK. 

Adobe anbefaler også anvendelsen af konfigurationsindstillingerne inkluderet i ColdFusion-sikkerhedsdokumentationen samt at du gennemgår de relevante nedlukningsvejledninger.    

ColdFusion JDK-krav

COLDFUSION 2025 (version 2023.0.0.331385) og nyere
For applikationsservere

På JEE-installationer skal du indstille følgende JVM-flag, "-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**; !com.mysql.cj.jdbc.interceptors.**;!org.apache.commons.collections.**; " i den respektive opstartsfil afhængigt af, hvilken type applikationsserver der bruges.

Eksempel:
Apache Tomcat-applikationsserver: Rediger JAVA_OPTS i filen "Catalina.bat/sh"
WebLogic-applikationsserver: Rediger JAVA_OPTIONS i filen "startWeblogic.cmd"
WildFly/EAP-applikationsserver: Rediger JAVA_OPTS i filen "standalone.conf"
JVM-flag skal kun anvendes ved en JEE-installation af ColdFusion, ikke ved en enkeltstående installation.

 

COLDFUSION 2023 (version 2023.0.0.330468) og nyere
For applikationsservere

På JEE-installationer skal du indstille følgende JVM-flag, "-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**; !com.mysql.cj.jdbc.interceptors.**;!org.apache.commons.collections.**; " i den respektive opstartsfil afhængigt af, hvilken type applikationsserver der bruges.

Eksempel:
Apache Tomcat-applikationsserver: Rediger JAVA_OPTS i filen "Catalina.bat/sh"
WebLogic-applikationsserver: Rediger JAVA_OPTIONS i filen "startWeblogic.cmd"
WildFly/EAP-applikationsserver: Rediger JAVA_OPTS i filen "standalone.conf"
JVM-flag skal kun anvendes ved en JEE-installation af ColdFusion, ikke ved en enkeltstående installation.

 

COLDFUSION 2021 (version 2021.0.0.323925) og nyere

For applikationsservere   

På JEE-installationer skal du indstille følgende JVM-flag: "-Djdk.serialFilter= !.org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**; !com.mysql.cj.jdbc.interceptors.**;!org.apache.commons.collections.**;"

i den respektive startfil afhængigt af den anvendte type applikationsserver.

Eksempel:   

På en Apache Tomcat-applikationsserver: redigér JAVA_OPTS i filen ‘Catalina.bat/sh’   

På en WebLogic-applikationsserver: redigér JAVA_OPTIONS i filen ‘startWeblogic.cmd’   

På en WildFly/EAP-applikationsserver: redigér JAVA_OPTS i filen ‘standalone.conf’   

Hejs JVM-flagene på en JEE-installation af ColdFusion, ikke på en enkeltstående installation.   


Du kan få yderligere oplysninger på https://helpx.adobe.com/dk/security.html eller ved at skrive til PSIRT@adobe.com 

Få hjælp hurtigere og nemmere

Ny bruger?