Bulletin-id
Laatst bijgewerkt op
17 jul. 2025
Beveiligingsupdates beschikbaar voor Adobe ColdFusion | APSB25-69
|
|
Publicatiedatum |
Prioriteit |
|
APSB25-69 |
8 juli 2025 |
1 |
Samenvatting
Adobe heeft beveiligingsupdates uitgebracht voor ColdFusion versie 2025, 2023 en 2021. Met deze updates worden de kritieke, belangrijke en matige kwetsbaarheden opgelost die kunnen leiden tot willekeurig lezen van het bestandssysteem, willekeurige uitvoering van code, privilege-escalatie, omzeilen van beveiligingsfuncties en denial-of-service van toepassingen.
Adobe is zich er niet van bewust dat de in deze updates behandelde problemen door onbevoegden worden misbruikt.
Van toepassing op de volgende versies
|
Product |
Nummer update |
Platform |
|
ColdFusion 2025 |
Update 2 en eerdere versies |
Alle |
|
ColdFusion 2023 |
Update 14 en eerdere versies |
Alle |
|
ColdFusion 2021 |
Update 20 en eerdere versies |
Alle |
Oplossing
Adobe heeft aan deze updates de onderstaande prioriteit toegekend en raadt gebruikers aan hun installaties bij te werken naar de meest recente versies:
|
Product |
Bijgewerkte versie |
Platform |
Prioriteitsbeoordeling |
Beschikbaarheid |
|---|---|---|---|---|
|
ColdFusion 2025 |
Update 3 |
Alle |
1 |
|
|
ColdFusion 2023 |
Update 15 |
Alle |
1 |
|
|
ColdFusion 2021 |
Update 21 |
Alle |
1 |
Opmerking:
Om veiligheidsredenen raden we u ten zeerste aan om de nieuwste mysql java-connector te gebruiken. Meer informatie over het gebruik ervan vindt u op https://helpx.adobe.com/coldfusion/kb/coldfusion-configuring-mysql-jdbc.html
Zie de bijgewerkte seriële filterdocumentatie voor meer informatie over de bescherming tegen onveilige Wddx-deserialisatieaanvallen https://helpx.adobe.com/nl/coldfusion/kb/coldfusion-serialfilter-file.html
Details van kwetsbaarheid
|
Categorie van kwetsbaarheid |
Impact van kwetsbaarheid |
Ernst |
CVSS-basisscore |
CVE-nummers |
|
|
Onjuiste beperking van XML Externe entiteitsreferentie ('XXE') (CWE-611) |
Lezen van willekeurige bestandssystemen |
Kritiek |
9.3 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:N/A:L |
CVE-2025-49535 |
|
Gebruik van hardgecodeerde inloggegevens (CWE-798) |
Bevoegdhedenescalatie |
Kritiek |
8.8 |
CVSS:3.1/AV:A/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
CVE-2025-49551 |
|
Onjuiste autorisatie (CWE-863) |
Omzeiling van beveiligingsfunctie |
Kritiek |
8.1 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N |
CVE-2025-49536 |
|
Onjuiste neutralisatie van speciale elementen die worden gebruikt in een OS-opdracht ('OS Command Injection') (CWE-78) |
Lezen van willekeurige bestandssystemen |
Kritiek |
8.1 |
CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:C/C:H/I:H/A:H |
CVE-2025-49537 |
|
XML-injectie (ook bekend als blinde XPath-injectie) (CWE-91) |
Lezen van willekeurige bestandssystemen |
Kritiek |
7.4 |
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:H |
CVE-2025-49538 |
|
Onjuiste beperking van XML Externe entiteitsreferentie ('XXE') (CWE-611) |
Omzeiling van beveiligingsfunctie |
Belangrijk |
6.5 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N |
CVE-2025-49539 |
|
Cross-site scripting (opgeslagen XSS) (CWE-79) |
Uitvoering van willekeurige code |
Belangrijk |
4.8 |
CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:N |
CVE-2025-49540 |
|
Cross-site scripting (opgeslagen XSS) (CWE-79) |
Uitvoering van willekeurige code |
Belangrijk |
4.8 |
CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:N |
CVE-2025-49541 |
|
Cross-site scripting (opgeslagen XSS) (CWE-79) |
Uitvoering van willekeurige code |
Belangrijk |
6.1 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:N |
CVE-2025-49542 |
|
Cross-site scripting (opgeslagen XSS) (CWE-79) |
Uitvoering van willekeurige code |
Belangrijk |
4.8 |
CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:N |
CVE-2025-49543 |
|
Onjuiste beperking van XML Externe entiteitsreferentie ('XXE') (CWE-611) |
Omzeiling van beveiligingsfunctie |
Belangrijk |
6.8 |
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:N/A:N |
CVE-2025-49543 |
|
SSRF (aanvraagvervalsing op de server) (CWE-918) |
Lezen van willekeurige bestandssystemen |
Belangrijk |
6.8 |
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:N/A:N |
CVE-2025-49545 |
|
Onjuist toegangsbeheer (CWE-284) |
Application denial-of-service |
Matig |
2.7 |
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:L |
CVE-2025-49546 |
Dankbetuigingen:
Adobe bedankt de volgende onderzoekers voor het melden van dit probleem en voor de samenwerking met Adobe om onze klanten te helpen beschermen:
- anonymous_blackzero - CVE-2025-49536, CVE-2025-49542, CVE-2025-49543, CVE-2025-49544
- nbxiglk - CVE-2025-49535, CVE-2025-49537, CVE-2025-49551
- Brian Reilly (reillyb) - CVE-2025-49539, CVE-2025-49545
- the_predator - CVE-2025-49540, CVE-2025-49541
- Ashish Dhone (ashketchum) - CVE-2025-49546
- Nhien Pham (nhienit2010) - CVE-2025-49538
OPMERKING: Adobe heeft een openbaar bug bounty-programma met HackerOne. Als u geïnteresseerd bent in een samenwerking met Adobe als externe beveiligingsonderzoeker, kijk dan hier: https://hackerone.com/adobe
Opmerking:
Adobe raadt u aan uw ColdFusion JDK/JRE LTS-versie te updaten naar de nieuwste updaterelease, als onderdeel van uw beveiligingsmaatregelen. De ColdFusion-downloadpagina wordt regelmatig bijgewerkt met de nieuwste Java-installatieprogramma's voor de JDK-versie die uw installatie ondersteunt volgens de onderstaande matrices.
- ColdFusion 2025-ondersteuningsmatrix
- ColdFusion 2023-ondersteuningsmatrix
- ColdFusion 2021-ondersteuningsmatrix
Zie ColdFusion JVM wijzigen voor instructies over het gebruik van een externe JDK.
Adobe raadt klanten ook aan om de instellingen van de beveiligingsconfiguratie toe te passen, zoals beschreven in de ColdFusion Security-documentatie, en om de bijbehorende handleidingen voor lockdown te bekijken.
Vereiste voor ColdFusion JDK
COLDFUSION 2025 (versie 2023.0.0.331385) en hoger
Voor applicatieservers
Stel op JEE-installaties de volgende JVM-vlag in, "-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**; !com.mysql.cj.jdbc.interceptors.**;!org.apache.commons.collections.**; " in het respectievelijke opstartbestand afhankelijk van het gebruikte type applicatieserver.
Bijvoorbeeld:
Apache Tomcat-applicatieserver: bewerk JAVA_OPTS in het bestand Catalina.bat/sh
WebLogic-applicatieserver: bewerk JAVA_OPTIONS in het bestand startWeblogic.cmd
WildFly/EAP-applicatieserver: bewerk JAVA_OPTS in het bestand standalone.conf
Stel de JVM-markeringen in op een JEE-installatie van ColdFusion, niet op een zelfstandige installatie.
COLDFUSION 2023 (versie 2023.0.0.330468) en hoger
Voor applicatieservers
Stel op JEE-installaties de volgende JVM-vlag in, "-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**; !com.mysql.cj.jdbc.interceptors.**;!org.apache.commons.collections.**;" in het respectievelijke opstartbestand afhankelijk van het gebruikte type applicatieserver.
Bijvoorbeeld:
Apache Tomcat-applicatieserver: bewerk JAVA_OPTS in het bestand Catalina.bat/sh
WebLogic-applicatieserver: bewerk JAVA_OPTIONS in het bestand startWeblogic.cmd
WildFly/EAP-applicatieserver: bewerk JAVA_OPTS in het bestand standalone.conf
Stel de JVM-markeringen in op een JEE-installatie van ColdFusion, niet op een zelfstandige installatie.
COLDFUSION 2021 (Versie 2021.0.0.323925) en hoger
Voor applicatieservers
Stel op JEE-installaties de volgende JVM-vlag in, “-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**; !com.mysql.cj.jdbc.interceptors.**;!org.apache.commons.collections.**;"
in het respectievelijke opstartbestand afhankelijk van het gebruikte type applicatieserver.
Bijvoorbeeld:
Apache Tomcat-applicatieserver: bewerk JAVA_OPTS in het bestand Catalina.bat/sh
WebLogic-applicatieserver: bewerk JAVA_OPTIONS in het bestand startWeblogic.cmd
WildFly/EAP-applicatieserver: bewerk JAVA_OPTS in het bestand standalone.conf
Stel de JVM-markeringen in op een JEE-installatie van ColdFusion, niet op een zelfstandige installatie.
Ga voor meer informatie naar https://helpx.adobe.com/nl/security.html of stuur een e-mail naar PSIRT@adobe.com
