Tiedotteen tunnus
Päivitetty viimeksi
17. heinäkuuta 2025
Adobe ColdFusionin tietoturvapäivitykset | APSB25-69
|
|
Julkaisupäivä |
Prioriteetti |
|
APSB25-69 |
8.7.2025 |
1 |
Yhteenveto
Adobe on julkaissut tietoturvapäivityksiä ColdFusion-versioille 2025, 2023 ja 2021. Päivitykset korjaavat kriittisiä, tärkeitä ja keskitason haavoittuvuuksia, jotka voivat johtaa satuannaiseen tiedostojärjestelmän lukemiseen, mielivaltaiseen koodin suorittamiseen, käyttöoikeuksien laajennukseen ja sovelluksen palvelunestohyökkäykseen.
Adobe ei ole tietoinen, että mitään näissä päivityksissä käsiteltyjä haavoittuvuuksia olisi hyödynnetty käytännössä.
Versiot
|
Tuote |
Päivityksen numero |
Ympäristö |
|
ColdFusion 2025 |
Päivitys 2 ja aiemmat versiot |
Kaikki |
|
ColdFusion 2023 |
Päivitys 14 ja aiemmat versiot |
Kaikki |
|
ColdFusion 2021 |
Päivitys 20 ja aiemmat versiot |
Kaikki |
Ratkaisu
Adobe luokittelee päivitykset seuraavan prioriteettiluokituksen mukaisesti ja suosittelee käyttäjiä päivittämään asennuksensa uusimpaan versioon:
|
Tuote |
Päivitetty versio |
Ympäristö |
Prioriteettiluokitus |
Saatavuus |
|---|---|---|---|---|
|
ColdFusion 2025 |
Päivitys 3 |
Kaikki |
1 |
|
|
ColdFusion 2023 |
Päivitys 15 |
Kaikki |
1 |
|
|
ColdFusion 2021 |
Päivitys 21 |
Kaikki |
1 |
Huomautus:
Tietoturvasyistä suosittelemme vahvasti käyttämään uusinta mysql-java-liitintä. Lisätietoja sen käytöstä on osoitteessa osoitteessa https://helpx.adobe.com/coldfusion/kb/coldfusion-configuring-mysql-jdbc.html
Katso päivitetystä sarjasuodattimen dokumentaatiosta lisätietoja suojautumisesta suojaamattomia Wddx-deserialisointihyökkäyksiä vastaan https://helpx.adobe.com/coldfusion/kb/coldfusion-serialfilter-file.html
Lisätietoja haavoittuvuuksista
|
Haavoittuvuusluokka |
Haavoittuvuuden vaikutus |
Vakavuus |
CVSS-peruspisteet |
CVE-numerot |
|
|
Sopimaton XML:n ulkoisen kohteen viitteen rajoitus (XXE) (CWE-611) |
Mielivaltainen tiedostojärjestelmän luku |
Kriittinen |
9,3 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:N/A:L |
CVE-2025-49535 |
|
Pysyväiskoodattujen tunnistetietojen käyttö (CWE-798) |
Käyttöoikeuksien laajennus |
Kriittinen |
8.8 |
CVSS:3.1/AV:A/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
CVE-2025-49551 |
|
Virheellinen valtuutus (CWE-863) |
Tietoturvaominaisuuden ohitus |
Kriittinen |
8.1 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N |
CVE-2025-49536 |
|
Käyttöjärjestelmän komennossa käytettyjen erikoiselementtien virheellinen neutralointi (”Käyttöjärjestelmän komennon injektointi”) (CWE-78) |
Mielivaltainen tiedostojärjestelmän luku |
Kriittinen |
8.1 |
CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:C/C:H/I:H/A:H |
CVE-2025-49537 |
|
XML-injektio (eli Blind XPath -injektio) (CWE-91) |
Mielivaltainen tiedostojärjestelmän luku |
Kriittinen |
7.4 |
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:H |
CVE-2025-49538 |
|
Sopimaton XML:n ulkoisen kohteen viitteen rajoitus (XXE) (CWE-611) |
Tietoturvaominaisuuden ohitus |
Tärkeä |
6.5 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N |
CVE-2025-49539 |
|
Sivustojen välinen skriptaus (tallennettu XSS) (CWE-79) |
Mielivaltaisen koodin suoritus |
Tärkeä |
4.8 |
CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:N |
CVE-2025-49540 |
|
Sivustojen välinen skriptaus (tallennettu XSS) (CWE-79) |
Mielivaltaisen koodin suoritus |
Tärkeä |
4.8 |
CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:N |
CVE-2025-49541 |
|
Sivustojen välinen skriptaus (tallennettu XSS) (CWE-79) |
Mielivaltaisen koodin suoritus |
Tärkeä |
6.1 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:N |
CVE-2025-49542 |
|
Sivustojen välinen skriptaus (tallennettu XSS) (CWE-79) |
Mielivaltaisen koodin suoritus |
Tärkeä |
4.8 |
CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:N |
CVE-2025-49543 |
|
Sopimaton XML:n ulkoisen kohteen viitteen rajoitus (XXE) (CWE-611) |
Tietoturvaominaisuuden ohitus |
Tärkeä |
6.8 |
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:N/A:N |
CVE-2025-49544 |
|
Palvelinpuolen pyynnön väärennös (SSRF) (CWE-918) |
Mielivaltainen tiedostojärjestelmän luku |
Tärkeä |
6.8 |
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:N/A:N |
CVE-2025-49545 |
|
Sopimaton käyttöoikeuksien valvonta (CWE-284) |
Sovelluksen palvelunesto |
Kohtalainen |
2.7 |
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:L |
CVE-2025-49546 |
Kiitokset:
Adobe haluaa kiittää seuraavia tutkijoita tästä ongelmasta ilmoittamisesta ja yhteistyöstä Adoben kanssa sen asiakkaiden suojaamisessa:
- anonymous_blackzero - CVE-2025-49536, CVE-2025-49542, CVE-2025-49543, CVE-2025-49544
- nbxiglk - CVE-2025-49535, CVE-2025-49537, CVE-2025-49551
- Brian Reilly (reillyb) - CVE-2025-49539, CVE-2025-49545
- the_predator - CVE-2025-49540, CVE-2025-49541
- Ashish Dhone (ashketchum) - CVE-2025-49546
- Nhien Pham (nhienit2010) - CVE-2025-49538
HUOMAUTUS: Adobella on HackerOnessa julkinen buginmetsästysohjelma. Jos olet kiinnostunut työskentelemään Adoben kanssa ulkopuolisena tietoturvatutkijana, tutustu ohjelmaan täällä: https://hackerone.com/adobe.
Huomautus:
Adobe suosittelee tietoturvatoimena ColdFusion JDK/JRE LTS -version päivittämistä uusimpaan päivitysversioon. ColdFusionin lataussivu päivitetään säännöllisesti siten, että se sisältää uusimmat Java-asennusohjelmat asennuksesi tukemaa JDK-versiota varten alla olevien taulukoiden mukaisesti.
Ulkoisen JDK:n käyttöä koskevia ohjeita on artikkelissa ColdFusionin JVM:n vaihto.
Adobe suosittelee myös, että kaikki ottavat käyttöön ColdFusionin tietoturvadokumentaatiossa esitellyt tietoturva-asetukset ja tutustuvat vastaaviin lukitusoppaisiin.
ColdFusion JDK -vaatimus
COLDFUSION 2025 (versio 2023.0.0.331385) ja uudemmat
Sovelluspalvelimia varten
EE-asennuksissa aseta seuraava JVM-lippu: ”-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**; !com.mysql.cj.jdbc.interceptors.**;!org.apache.commons.collections.**; ” vastaavassa käynnistystiedostossa käytetyn sovelluspalvelimen tyypin mukaan.
Esimerkiksi:
Apache Tomcat -sovelluspalvelin: muokkaa kohdetta JAVA_OPTS tiedostossa ”Catalina.bat/sh”
WebLogic-sovelluspalvelin: muokkaa kohdetta JAVA_OPTIONS tiedostossa ”startWeblogic.cmd”
WildFly/EAP-sovelluspalvelin: muokkaa kohdetta JAVA_OPTS tiedostossa ”standalone.conf”
Aseta JVM-liput ColdFusionin JEE-asennuksessa, ei erillisasennuksessa.
COLDFUSION 2023 (versio 2023.0.0.330468) ja uudemmat
Sovelluspalvelimia varten
EE-asennuksissa aseta seuraava JVM-lippu: ”-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**; !com.mysql.cj.jdbc.interceptors.**;!org.apache.commons.collections.**;;” vastaavassa käynnistystiedostossa käytetyn sovelluspalvelimen tyypin mukaan.
Esimerkiksi:
Apache Tomcat -sovelluspalvelin: muokkaa kohdetta JAVA_OPTS tiedostossa ”Catalina.bat/sh”
WebLogic-sovelluspalvelin: muokkaa kohdetta JAVA_OPTIONS tiedostossa ”startWeblogic.cmd”
WildFly/EAP-sovelluspalvelin: muokkaa kohdetta JAVA_OPTS tiedostossa ”standalone.conf”
Aseta JVM-liput ColdFusionin JEE-asennuksessa, ei erillisasennuksessa.
COLDFUSION 2021 (versiot 2021.0.0.323925) ja uudemmat
Sovelluspalvelimia varten
JEE-asennuksissa aseta seuraava JVM-lippu: ”-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**; !com.mysql.cj.jdbc.interceptors.**;!org.apache.commons.collections.**;”
vastaavassa käynnistystiedostossa käytetyn sovelluspalvelimen tyypin mukaan.
Esimerkiksi:
Muokkaa Apache Tomcat -sovelluspalvelimella JAVA_OPTS-kohdetta ”Catalina.bat/sh”-tiedostossa
Muokkaa WebLogic-sovelluspalvelimella JAVA_OPTIONS-kohdetta ”startWeblogic.cmd”-tiedostossa
Muokkaa WildFly/EAP-sovelluspalvelimella JAVA_OPTS-kohdetta ”standalone.conf”-tiedostossa
Määritä JVM-liput ColdFusionin JEE-asennuksessa, mutta ei erillisasennuksessa.
Saat lisätietoja siirtymällä osoitteeseen https://helpx.adobe.com/fi/security.html tai lähettämällä sähköpostia osoitteeseen PSIRT@adobe.com
