게시판 ID
마지막 업데이트 날짜
2025년 4월 24일
Adobe ColdFusion에 사용할 수 있는 보안 업데이트 | APSB25-15
|
|
게시 날짜 |
우선 순위 |
|
APSB25-15 |
2025년 4월 8일 |
1 |
요약
해당하는 버전
|
제품 |
업데이트 번호 |
플랫폼 |
|
ColdFusion 2025 |
빌드 331385 |
모두 |
|
ColdFusion 2023 |
업데이트 12 및 이전 버전 |
모두 |
|
ColdFusion 2021 |
업데이트 18 및 이전 버전 |
모두 |
해결 방법
Adobe는 이 업데이트를 다음과 같은 우선 순위 등급으로 분류하고 사용자가 최신 버전으로 업데이트할 것을 권장합니다.
참고:
안전하지 않은 Wddx 역직렬화 공격으로부터 보호하는 방법에 대한 자세한 내용은 업데이트된 직렬 필터 설명서(https://helpx.adobe.com/kr/coldfusion/kb/coldfusion-serialfilter-file.html)를 참조하십시오.
취약성 세부 정보
|
취약점 카테고리 |
취약성 영향 |
심각도 |
CVSS 기본 점수 |
CVE 번호 |
|
|
잘못된 입력 유효성 검사(CWE-20) |
임의 파일 시스템 읽기 |
치명적 |
9.1 |
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H |
CVE-2025-24446 |
|
신뢰할 수 없는 데이터의 비일련화(CWE-502) |
임의 코드 실행 |
치명적 |
9.1 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N |
CVE-2025-24447 |
|
잘못된 액세스 제어(CWE-284) |
임의 파일 시스템 읽기 |
치명적 |
9.1 |
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H |
CVE-2025-30281 |
|
잘못된 인증(CWE-287) |
임의 코드 실행 |
치명적 |
9.1 |
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H |
CVE-2025-30282 |
|
신뢰할 수 없는 데이터의 비일련화(CWE-502) |
임의 코드 실행 |
치명적 |
8.0 |
CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:C/C:H/I:H/A:H |
CVE-2025-30284 |
|
신뢰할 수 없는 데이터의 비일련화(CWE-502) |
임의 코드 실행 |
치명적 |
8.0 |
CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:C/C:H/I:H/A:H |
CVE-2025-30285 |
|
OS 명령('OS 명령 주입')에 사용된 특수 요소의 부적절한 무력화(CWE-78) |
임의 코드 실행 |
치명적 |
8.0 |
CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:C/C:H/I:H/A:H |
CVE-2025-30286 |
|
잘못된 인증(CWE-287) |
임의 코드 실행 |
치명적 |
8.1 |
CVSS:3.1/AV:L/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H |
CVE-2025-30287 |
|
잘못된 액세스 제어(CWE-284) |
보안 기능 무시 |
치명적 |
7.8 |
CVSS:3.1/AV:L/AC:H/PR:L/UI:N/S:C/C:H/I:H/A:H |
CVE-2025-30288 |
|
OS 명령('OS 명령 주입')에 사용된 특수 요소의 부적절한 무력화(CWE-78) |
임의 코드 실행 |
치명적 |
7.5 |
CVSS:3.1/AV:L/AC:H/PR:L/UI:N/S:C/C:H/I:H/A:N |
CVE-2025-30289 |
|
제한된 디렉터리('Path Traversal')에 대한 경로 이름의 부적절한 제한(CWE-22) |
보안 기능 무시 |
치명적 |
8.7 |
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:N/I:H/A:H |
CVE-2025-30290 |
|
정보 노출(CWE-200) |
보안 기능 무시 |
중요 |
6.2 |
CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N |
CVE-2025-30291 |
|
크로스 사이트 스크립팅(반사형 XSS)(CWE-79) |
임의 코드 실행 |
중요 |
6.1 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N |
CVE-2025-30292 |
|
잘못된 입력 유효성 검사(CWE-20) |
보안 기능 무시 |
중요 |
6.8 |
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:N/I:H/A:N |
CVE-2025-30293 |
|
잘못된 입력 유효성 검사(CWE-20) |
보안 기능 무시 |
중요 |
6.5 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N |
CVE-2025-30294 |
감사의 말:
Adobe는 이 문제를 보고하고 Adobe와 협력하여 고객 보호에 도움을 주신 다음 연구원 여러분께 감사의 말씀을 전합니다.
- nbxiglk - CVE-2025-24446, CVE-2025-30281, CVE-2025-30282, CVE-2025-30284, CVE-2025-30285, CVE-2025-30286, CVE-2025-30289
- Brian Reilly(reillyb) - CVE-2025-24447, CVE-2025-30288, CVE-2025-30290, CVE-2025-30291, CVE-2025-30292, CVE-2025-30293, CVE-2025-30294
- cioier - CVE-2025-30287
참고: Adobe는 HackerOne과 함께 공개 버그 바운티 프로그램을 운영하고 있습니다. 외부 보안 연구원으로 Adobe와 협력하는 데 관심이 있으시면 https://hackerone.com/adobe에서 확인하십시오.
참고:
보안을 위해 ColdFusion JDK/JRE LTS 버전을 최신 업데이트 릴리스로 업데이트하는 것이 좋습니다. ColdFusion 다운로드 페이지는 아래 정보에 따라 설치에서 지원하는 JDK 버전에 대한 최신 Java 설치 프로그램을 포함하도록 정기적으로 업데이트됩니다.
외부 JDK를 사용하는 방법에 대한 지침은 ColdFusion JVM 변경을 참조하십시오.
또한 ColdFusion 보안 설명서에 포함된 내용에 따라 보안 구성 설정을 적용하고, 해당 Lockdown 안내서를 검토하는 것이 좋습니다.
ColdFusion JDK 요구 사항
COLDFUSION 2025(버전 2023.0.0.331385) 이상
애플리케이션 서버
JEE 설치 시 사용 중인 애플리케이션 서버의 유형에 따라 해당 시작 파일에서 JVM 플래그 "-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**; !com.mysql.cj.jdbc.interceptors.**;!org.apache.commons.collections.**; "를 설정합니다.
예:
Apache Tomcat 애플리케이션 서버: 'Catalina.bat/sh' 파일에서 JAVA_OPTS를 편집합니다
WebLogic 애플리케이션 서버: 'startWeblogic.cmd' 파일에서 JAVA_OPTIONS를 편집합니다
WildFly/EAP 애플리케이션 서버: 'standalone.conf' 파일에서 JAVA_OPTS를 편집합니다
독립형 설치가 아닌 ColdFusion의 JEE 설치 시 JVM 플래그를 설정합니다.
ColdFusion 2023(버전 2023.0.0.330468) 이상
애플리케이션 서버
JEE 설치 시 사용 중인 애플리케이션 서버의 유형에 따라 해당 시작 파일에서 JVM 플래그 "-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**; !com.mysql.cj.jdbc.interceptors.**;!org.apache.commons.collections.**;"를 설정합니다.
예:
Apache Tomcat 애플리케이션 서버: 'Catalina.bat/sh' 파일에서 JAVA_OPTS를 편집합니다
WebLogic 애플리케이션 서버: 'startWeblogic.cmd' 파일에서 JAVA_OPTIONS를 편집합니다
WildFly/EAP 애플리케이션 서버: 'standalone.conf' 파일에서 JAVA_OPTS를 편집합니다
독립형 설치가 아닌 ColdFusion의 JEE 설치 시 JVM 플래그를 설정합니다.
COLDFUSION 2021(버전 2021.0.0.323925) 이상
애플리케이션 서버
JEE 설치 시, 사용 중인 애플리케이션 서버의 유형에 따라 해당 시작 파일에서 JVM 플래그 “ Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**; !com.mysql.cj.jdbc.interceptors.**;!org.apache.commons.collections.**;"
를 설정합니다.
예:
Apache Tomcat 애플리케이션 서버: 'Catalina.bat/sh' 파일의 JAVA_OPTS를 편집합니다.
WebLogic 애플리케이션 서버: 'startWeblogic.cmd' 파일의 JAVA_OPTIONS를 편집합니다.
WildFly/EAP 애플리케이션 서버: 'standalone.conf' 파일의 JAVA_OPTS를 편집합니다.
독립형 설치가 아닌 ColdFusion의 JEE 설치 시 JVM 플래그를 설정합니다.
자세한 내용은 https://helpx.adobe.com/kr/security.html을 방문하거나 PSIRT@adobe.com으로 이메일을 보내십시오.
