Bollettino sulla sicurezza di Adobe

Aggiornamenti di sicurezza disponibili per Adobe ColdFusion | APSB25-52

ID bollettino

Data di pubblicazione

Priorità

APSB25-52

13 maggio 2025

1

Riepilogo

Adobe ha rilasciato aggiornamenti per la sicurezza per le versioni di ColdFusion 2025, 2023 e 2021.  Questi aggiornamenti risolvono vulnerabilità critiche e importanti che potrebbero portare a una lettura di file system arbitraria, a un’esecuzione di codice arbitrario e a un’acquisizione illecita di privilegi.

 Adobe non è a conoscenza di exploit delle vulnerabilità oggetto di questi aggiornamenti.

Versioni interessate

Prodotto

Numero aggiornamento

Piattaforma

ColdFusion 2025

Aggiornamento 1

Tutte

ColdFusion 2023

Aggiornamento 13 e versioni precedenti
  

Tutte

ColdFusion 2021

Aggiornamento 19 e versioni precedenti

Tutte

Soluzione

Adobe classifica questi aggiornamenti in base ai seguenti livelli di priorità e consiglia agli utenti di aggiornare le proprie installazioni alle versioni più recenti:

Prodotto

Versione aggiornata

Piattaforma

Livello di priorità

Disponibilità

ColdFusion 2025

Aggiornamento 2

Tutte

1

ColdFusion 2023

Aggiornamento 14

Tutte

1

ColdFusion 2021

Aggiornamento 20

Tutte

1

Nota:

Per motivi di sicurezza, si consiglia vivamente di utilizzare il connettore mysql java più recente. Per ulteriori informazioni sul suo utilizzo,  consulta https://helpx.adobe.com/coldfusion/kb/coldfusion-configuring-mysql-jdbc.html

Per ulteriori dettagli sulla protezione contro gli attacchi di deserializzazione Wddx non sicuri, consulta la documentazione aggiornata sui filtri di serie https://helpx.adobe.com/it/coldfusion/kb/coldfusion-serialfilter-file.html

Dettagli della vulnerabilità

Categoria della vulnerabilità

Impatto della vulnerabilità

Gravità

Punteggio base CVSS 

Codici CVE

Convalida dell’input non corretta (CWE-20)

Lettura di file system arbitraria

Critica

9.1

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N

CVE-2025-43559

Convalida dell’input non corretta (CWE-20)

Esecuzione di codice arbitrario

Critico

9.1

CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H

CVE-2025-43560

Controllo di accesso non corretto (CWE-284)

Lettura di file system arbitraria

Critica

9.1

CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H

CVE-2025-43561

Neutralizzazione impropria di elementi speciali utilizzati in un comando OS (“OS Command Injection”) (CWE-78)

Esecuzione di codice arbitrario

Critico

9.1

CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H

CVE-2025-43562

Controllo di accesso non corretto (CWE-284)

Acquisizione illecita di privilegi

Critico

9.1

CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H

CVE-2025-43563

Autorizzazione errata (CWE-863)

Esecuzione di codice arbitrario

Critico

9.1

CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H

CVE-2025-43564

Controllo di accesso non corretto (CWE-284)

Esecuzione di codice arbitrario

Critica

8.4

CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:H/I:H/A:H

CVE-2025-43565

Limitazione non corretta di un percorso a una directory con restrizioni ("Path Traversal") (CWE-22)

Lettura di file system arbitraria

Importante

6.8

CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:N/A:N

CVE-2025-43566

Ringraziamenti:

Adobe desidera ringraziare i ricercatori seguenti per la collaborazione e per aver segnalato i problemi specifici, contribuendo così a proteggere la sicurezza dei nostri clienti:   

  • nbxiglk - CVE-2025-43561, CVE-2025-43563, CVE-2025-43564, CVE-2025-43566
  • Brian Reilly (reillyb) - CVE-2025-43559, CVE-2025-43560, CVE-2025-43562, CVE-2025-43565

NOTA: Adobe dispone di un programma di bug bounty con HackerOne. Se ti interessa lavorare con Adobe come ricercatore esterno sulla sicurezza, visita: https://hackerone.com/adobe

Nota:

Adobe consiglia di aggiornare ColdFusion JDK/JRE LTS alla versione di aggiornamento più recente per maggiore sicurezza.La pagina dei download di ColdFusion viene regolarmente aggiornata per includere i più recenti programmi di installazione Java per la versione JDK supportata dall’installazione, come da matrici riportate sotto.  

Per istruzioni su come utilizzare un JDK esterno, consultare Modificare JVM di ColdFusion

Adobe consiglia inoltre di applicare le impostazioni di configurazione della protezione descritte nella pagina sulla sicurezza di ColdFusion, nonché di consultare la relativa Guida alla protezione.    

Requisiti JDK di ColdFusion

COLDFUSION 2025 (versione 2023.0.0.331385) e superiori
Per il server applicazioni

Sulle installazioni di JEE, imposta il seguente flag JVM, “-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**; !com.mysql.cj.jdbc.interceptors.**;!org.apache.commons.collections.**; " nel rispettivo file di avvio a seconda del tipo di Application Server usato.

Ad esempio:
Server applicazioni Apache Tomcat: modifica JAVA_OPTS nel file ‘Catalina.bat/sh’
Server applicazioni WebLogic: modifica JAVA_OPTIONS nel file ‘startWeblogic.cmd’
Server applicazioni WildFly/EAP: modifica JAVA_OPTS nel file ‘standalone.conf’
Imposta i flag JVM su un’installazione JEE di ColdFusion, non un’installazione standalone.

 

COLDFUSION 2023 (versione 2023.0.0.330468.331385) e superiori
Per il server applicazioni

Sulle installazioni di JEE, imposta il seguente flag JVM, “-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**; !com.mysql.cj.jdbc.interceptors.**;!org.apache.commons.collections.**; " nel rispettivo file di avvio a seconda del tipo di Application Server usato.

Ad esempio:
Server applicazioni Apache Tomcat: modifica JAVA_OPTS nel file ‘Catalina.bat/sh’
Server applicazioni WebLogic: modifica JAVA_OPTIONS nel file ‘startWeblogic.cmd’
Server applicazioni WildFly/EAP: modifica JAVA_OPTS nel file ‘standalone.conf’
Imposta i flag JVM su un’installazione JEE di ColdFusion, non un’installazione standalone.

 

COLDFUSION 2021 (versione 2021.0.0.323925) e versioni successive

Per i server di applicazioni   

Sulle installazioni JEE, inserisci il seguente flag JVM, "-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**; !com.mysql.cj.jdbc.interceptors.**;!org.apache.commons.collections.**;"

nel relativo file di avvio in base al tipo di server applicazioni in uso.

Ad esempio:   

Server applicazioni Apache Tomcat, modifica JAVA_OPTS nel file 'Catalina.bat/sh'   

Server applicazioni WebLogic:  modifica JAVA_OPTIONS nel file 'startWeblogic.cmd'   

Server applicazioni WildFly/EAP:  modifica JAVA_OPTS nel file 'standalone.conf'   

Imposta i flag JVM su una installazione JEE di ColdFusion, non una installazione standalone.   


Per ulteriori informazioni visita https://helpx.adobe.com/it/security.html o invia un’e-mail a PSIRT@adobe.com 

Ottieni supporto in modo più facile e veloce

Nuovo utente?