Boletín de seguridad de Adobe

Actualizaciones de seguridad disponibles para Adobe ColdFusion | APSB25-52

ID del boletín

Fecha de publicación

Prioridad

APSB25-52

13 de mayo de 2025

1

Resumen

Adobe ha publicado actualizaciones de seguridad para las versiones 2025, 2023 y 2021 de ColdFusion. Estas actualizaciones resuelven las vulnerabilidades críticas e importantes que podrían conducir a la lectura arbitraria del sistema de archivos, la ejecución arbitraria de código y la ampliación de privilegios.

 Adobe no tiene constancia de que existan exploits en circulación para los problemas que se tratan en estas actualizaciones.

Versiones afectadas

Producto

Número de actualización

Plataforma

ColdFusion 2025

Actualización 1

Todas

ColdFusion 2023

Actualización 13 y versiones anteriores
  

Todas

ColdFusion 2021

Actualización 19 y versiones anteriores

Todas

Solución

Adobe categoriza estas actualizaciones de acuerdo a los siguientes niveles de prioridad y recomienda que los usuarios actualicen los programas a las versiones más recientes:

Producto

Versión actualizada

Plataforma

Nivel de prioridad

Disponibilidad

ColdFusion 2025

Actualización 2

Todas

1

ColdFusion 2023

Actualización 14

Todas

1

ColdFusion 2021

Actualización 20

Todas

1

Nota:

Por razones de seguridad, recomendamos encarecidamente utilizar la última versión del conector mysql java. Para más información sobre su uso,  consulte https://helpx.adobe.com/coldfusion/kb/coldfusion-configuring-mysql-jdbc.html

Consulte la documentación actualizada del filtro serie para obtener más detalles sobre la protección contra ataques de deserialización Wddx inseguros https://helpx.adobe.com/es/coldfusion/kb/coldfusion-serialfilter-file.html

Detalles sobre la vulnerabilidad

Categoría de vulnerabilidad

Impacto de la vulnerabilidad

Gravedad

Puntuación base CVSS 

Números CVE

Validación incorrecta de la entrada (CWE-20)

Lectura arbitraria del sistema de archivos

Crítica

9.1

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N

CVE-2025-43559

Validación incorrecta de la entrada (CWE-20)

Ejecución de código arbitrario

Crítica

9.1

CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H

CVE-2025-43560

Control de acceso incorrecto (CWE-284)

Lectura arbitraria del sistema de archivos

Crítica

9.1

CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H

CVE-2025-43561

Neutralización incorrecta de elementos especiales utilizados en un comando del sistema operativo ("Inyección de comandos del sistema operativo") (CWE-78)

Ejecución de código arbitrario

Crítica

9.1

CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H

CVE-2025-43562

Control de acceso incorrecto (CWE-284)

Ampliación de privilegios

Crítica

9.1

CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H

CVE-2025-43563

Autorización incorrecta (CWE-863)

Ejecución de código arbitrario

Crítica

9.1

CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H

CVE-2025-43564

Control de acceso incorrecto (CWE-284)

Ejecución de código arbitraria

Crítica

8.4

CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:H/I:H/A:H

CVE-2025-43565

Limitación incorrecta de un nombre de ruta a un directorio restringido ('Travesía de ruta') (CWE-22)

Lectura arbitraria del sistema de archivos

Importante

6.8

CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:N/A:N

CVE-2025-43566

Reconocimientos:

Adobe desea dar las gracias a los siguientes investigadores por informar sobre este problema y por colaborar con Adobe para ayudarnos a proteger a nuestros clientes:   

  • nbxiglk - CVE-2025-43561, CVE-2025-43563, CVE-2025-43564, CVE-2025-43566
  • Brian Reilly (reillyb) - CVE-2025-43559, CVE-2025-43560, CVE-2025-43562, CVE-2025-43565

NOTA: Adobe tiene un programa público de detección de errores con HackerOne. Si está interesado en trabajar con Adobe como investigador de seguridad externo, consulte: https://hackerone.com/adobe

Nota:

Adobe recomienda actualizar JDK/JRE LTS de ColdFusion a la versión más reciente, con fines de seguridad.La página de descargas de ColdFusion se actualiza con regularidad para incluir los instaladores de Java más recientes para la versión de JDK compatible con su instalación, según las matrices siguientes.  

Para obtener instrucciones sobre cómo utilizar un JDK externo, consulte Cambiar JVM de ColdFusion

Adobe también recomienda aplicar los ajustes de configuración de seguridad incluidos en la documentación de seguridad de ColdFusion y consultar las guías de bloqueo correspondientes.    

Requisito de JDK de ColdFusion

COLDFUSION 2025 (versión 2023.0.0.331385) y superior
Para servidores de aplicaciones

En las instalaciones de JEE, establezca el siguiente indicador de JVM, "-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**; !com.mysql.cj.jdbc.interceptors.**;!org.apache.commons.collections.**;" en el archivo de inicio correspondiente en función del tipo de Application Server que se utilice.

Por ejemplo:
Servidor de aplicaciones Apache Tomcat: edite JAVA_OPTS en el archivo ‘Catalina.bat/sh’
Servidor de aplicaciones WebLogic: edite JAVA_OPTIONS en el archivo ‘startWeblogic.cmd’
Servidor de aplicaciones WildFly/EAP: edite JAVA_OPTS en el archivo ‘standalone.conf’
Establezca las marcas de JVM en la instalación de JEE de ColdFusion, no en una instalación independiente.

 

COLDFUSION 2023 (versión 2023.0.0.330468) y posteriores
Para servidores de aplicaciones

En las instalaciones de JEE, establezca el siguiente indicador de JVM, "-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**; !com.mysql.cj.jdbc.interceptors.**;!org.apache.commons.collections.**;" en el archivo de inicio correspondiente en función del tipo de servidor de aplicaciones que se utilice.

Por ejemplo:
Servidor de aplicaciones Apache Tomcat: edite JAVA_OPTS en el archivo ‘Catalina.bat/sh’
Servidor de aplicaciones WebLogic: edite JAVA_OPTIONS en el archivo ‘startWeblogic.cmd’
Servidor de aplicaciones WildFly/EAP: edite JAVA_OPTS en el archivo ‘standalone.conf’
Establezca las marcas de JVM en la instalación de JEE de ColdFusion, no en una instalación independiente.

 

COLDFUSION 2021 (versión 2021.0.0.323925) y posteriores

Para servidores de aplicaciones   

En las instalaciones de JEE, establezca el siguiente indicador JVM, "-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**; !com.mysql.cj.jdbc.interceptors.**;!org.apache.commons.collections.**;"

en el archivo de inicio correspondiente en función del tipo de servidor de aplicaciones que esté utilizando.

Por ejemplo:   

Servidor de aplicaciones Apache Tomcat: edite JAVA_OPTS en el archivo ‘Catalina.bat/sh’   

Servidor de aplicaciones WebLogic: edite JAVA_OPTIONS en el archivo ‘startWeblogic.cmd’   

Servidor de aplicaciones WildFly/EAP: edite JAVA_OPTS en el archivo ‘standalone.conf’   

Establezca las marcas de JVM en la instalación de JEE de ColdFusion, no en una instalación independiente.   


Para obtener más información, visite https://helpx.adobe.com/es/security.html o envíe un correo electrónico a la dirección PSIRT@adobe.com 

Obtén ayuda de forma más rápida y sencilla

¿Nuevo usuario?