Boletín de seguridad de Adobe

Buscar

Última actualización el 24 abr. 2025

Actualizaciones de seguridad disponibles para Adobe ColdFusion | APSB25-15

ID del boletín	Fecha de publicación	Prioridad
APSB25-15	8 de abril de 2025	1

Resumen

Adobe ha lanzado actualizaciones de seguridad para las versiones de 2025, 2023 y 2021 de ColdFusion. Estas actualizaciones solucionan vulnerabilidades críticas e importantes que podrían dar lugar a la lectura arbitraria del sistema de archivos, la ejecución de código arbitrario y la omisión de la función de seguridad

Adobe no tiene constancia de que existan exploits en circulación para los problemas que se tratan en estas actualizaciones.

Versiones afectadas

Producto	Número de actualización	Plataforma
ColdFusion 2025	Compilación 331385	Todas
ColdFusion 2023	Actualización 12 y versiones anteriores	Todas
ColdFusion 2021	Actualización 18 y versiones anteriores	Todas

Solución

Adobe categoriza estas actualizaciones de acuerdo a los siguientes niveles de prioridad y recomienda que los usuarios actualicen los programas a las versiones más recientes:

Producto	Versión actualizada	Plataforma	Nivel de prioridad	Disponibilidad
ColdFusion 2025	Actualización 1	Todas	1	Nota técnica
ColdFusion 2023	Actualización 13	Todas	1	Nota técnica
ColdFusion 2021	Actualización 19	Todas	1	Nota técnica

Nota:

Consulte la documentación actualizada del filtro serie para obtener más detalles sobre la protección contra ataques de deserialización Wddx inseguros https://helpx.adobe.com/es/coldfusion/kb/coldfusion-serialfilter-file.html

Detalles sobre la vulnerabilidad

Categoría de vulnerabilidad	Impacto de la vulnerabilidad	Gravedad	Puntuación base CVSS	Vector CVSS	Números CVE
Validación incorrecta de la entrada (CWE-20)	Lectura arbitraria del sistema de archivos	Crítico	9.1	CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H	CVE-2025-24446
Deserialización de datos que no son de confianza (CWE-502)	Ejecución de código arbitrario	Crítica	9.1	CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N	CVE-2025-24447
Control de acceso incorrecto (CWE-284)	Lectura arbitraria del sistema de archivos	Crítico	9.1	CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H	CVE-2025-30281
Autenticación incorrecta (CWE-287)	Ejecución de código arbitrario	Crítica	9.1	CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H	CVE-2025-30282
Deserialización de datos que no son de confianza (CWE-502)	Ejecución de código arbitraria	Crítica	8.0	CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:C/C:H/I:H/A:H	CVE-2025-30284
Deserialización de datos que no son de confianza (CWE-502)	Ejecución de código arbitrario	Crítica	8.0	CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:C/C:H/I:H/A:H	CVE-2025-30285
Neutralización incorrecta de elementos especiales utilizados en un comando del sistema operativo ("Inyección de comandos del sistema operativo") (CWE-78)	Ejecución de código arbitraria	Crítica	8.0	CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:C/C:H/I:H/A:H	CVE-2025-30286
Autenticación incorrecta (CWE-287)	Ejecución de código arbitrario	Crítica	8.1	CVSS:3.1/AV:L/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H	CVE-2025-30287
Control de acceso incorrecto (CWE-284)	Omisión de la función de seguridad	Crítica	7.8	CVSS:3.1/AV:L/AC:H/PR:L/UI:N/S:C/C:H/I:H/A:H	CVE-2025-30288
Neutralización incorrecta de elementos especiales utilizados en un comando del sistema operativo ("Inyección de comandos del sistema operativo") (CWE-78)	Ejecución de código arbitrario	Crítica	7.5	CVSS:3.1/AV:L/AC:H/PR:L/UI:N/S:C/C:H/I:H/A:N	CVE-2025-30289
Limitación incorrecta de un nombre de ruta a un directorio restringido ('Travesía de ruta') (CWE-22)	Omisión de la función de seguridad	Crítica	8.7	CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:N/I:H/A:H	CVE-2025-30290
Exposición de información (CWE-200)	Omisión de la función de seguridad	Importante	6.2	CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N	CVE-2025-30291
Ejecución de scripts en sitios múltiples (XSS reflejado) (CWE-79)	Ejecución de código arbitraria	Importante	6.1	CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N	CVE-2025-30292
Validación incorrecta de la entrada (CWE-20)	Omisión de la función de seguridad	Importante	6.8	CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:N/I:H/A:N	CVE-2025-30293
Validación incorrecta de la entrada (CWE-20)	Omisión de la función de seguridad	Importante	6.5	CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N	CVE-2025-30294

Reconocimientos:

Adobe desea dar las gracias a los siguientes investigadores por informar sobre este problema y por colaborar con Adobe para ayudarnos a proteger a nuestros clientes:   

nbxiglk: CVE-2025-24446, CVE-2025-30281, CVE-2025-30282, CVE-2025-30284, CVE-2025-30285, CVE-2025-30286, CVE-2025-30289
Brian Reilly (reillyb): CVE-2025-24447, CVE-2025-30288, CVE-2025-30290, CVE-2025-30291, CVE-2025-30292, CVE-2025-30293, CVE-2025-30294
cioier: CVE-2025-30287

NOTA: Adobe tiene un programa público de detección de errores con HackerOne. Si está interesado en trabajar con Adobe como investigador de seguridad externo, consulte: https://hackerone.com/adobe

Nota:

Adobe recomienda actualizar JDK/JRE LTS de ColdFusion a la versión más reciente, con fines de seguridad. La página de descargas de ColdFusion se actualiza con regularidad para incluir los instaladores de Java más recientes para la versión de JDK compatible con su instalación, según las matrices siguientes.

Para obtener instrucciones sobre cómo utilizar un JDK externo, consulte Cambiar JVM de ColdFusion.

Adobe también recomienda aplicar los ajustes de configuración de seguridad incluidos en la documentación de seguridad de ColdFusion y consultar las guías de bloqueo correspondientes.    

Requisito de JDK de ColdFusion

COLDFUSION 2025 (versión 2023.0.0.331385) y posteriores
Para servidores de aplicaciones

En las instalaciones de JEE, debe establecer la siguiente marca de JVM “-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**; !com.mysql.cj.jdbc.interceptors.**;!org.apache.commons.collections.**; " en el archivo de inicio correspondiente en función del tipo de servidor de aplicaciones que esté utilizando.

Por ejemplo:
Servidor de aplicaciones Apache Tomcat: edite JAVA_OPTS en el archivo ‘Catalina.bat/sh’
Servidor de aplicaciones WebLogic: edite JAVA_OPTIONS en el archivo ‘startWeblogic.cmd’
Servidor de aplicaciones WildFly/EAP: edite JAVA_OPTS en el archivo ‘standalone.conf’
Establezca las marcas de JVM en la instalación de JEE de ColdFusion, no en una instalación independiente.

COLDFUSION 2023 (versión 2023.0.0.330468) y posteriores
Para servidores de aplicaciones

En las instalaciones de JEE, debe establecer la siguiente marca de JVM: "-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**; !com.mysql.cj.jdbc.interceptors.**;!org.apache.commons.collections.**;" en el archivo de inicio correspondiente en función del tipo de servidor de aplicaciones que esté utilizando.

COLDFUSION 2021 (versión 2021.0.0.323925) y posteriores

Para servidores de aplicaciones  

En instalaciones de JEE, debe establecer la siguiente marca de JVM: "-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**; !com.mysql.cj.jdbc.interceptors.**;!org.apache.commons.collections.**;"

en el archivo de inicio correspondiente en función del tipo de servidor de aplicaciones que esté utilizando.

Por ejemplo:  

Servidor de aplicaciones Apache Tomcat: edite JAVA_OPTS en el archivo ‘Catalina.bat/sh’

Servidor de aplicaciones WebLogic: edite JAVA_OPTIONS en el archivo ‘startWeblogic.cmd’

Servidor de aplicaciones WildFly/EAP: edite JAVA_OPTS en el archivo ‘standalone.conf’

Establezca las marcas de JVM en la instalación de JEE de ColdFusion, no en una instalación independiente.  

Para obtener más información, visite https://helpx.adobe.com/es/security.html o envíe un correo electrónico a la dirección PSIRT@adobe.com

Obtén ayuda de forma más rápida y sencilla

¿Nuevo usuario?