Bulletin-ID
Sist oppdatert
24. apr. 2025
Sikkerhetsoppdateringer tilgjengelig for Adobe ColdFusion | APSB25-15
|
|
Publiseringsdato |
Prioritet |
|
APSB25-15 |
8. april 2025 |
1 |
Sammendrag
Adobe har lansert sikkerhetsoppdateringer for ColdFusion versjon 2025, 2023 og 2021. Disse oppdateringene løser kritiske og viktige sikkerhetsproblemer som kan føre til kjøring av vilkårlig kode og omgåelse av sikkerhetsfunksjon.
Adobe kjenner ikke til aktiv utnyttelse av noen av problemene som løses av disse oppdateringene.
Berørte versjoner
|
Produkt |
Oppdateringsnummer |
Plattform |
|
ColdFusion 2025 |
Build 331385 |
Alle |
|
ColdFusion 2023 |
Oppdatering 12 og tidligere versjoner |
Alle |
|
ColdFusion 2021 |
Oppdatering 18 og tidligere versjoner |
Alle |
Løsning
Adobe kategoriserer disse oppdateringene med følgende prioritetsklassifisering og anbefaler at brukerne oppdaterer installasjonene til de nyeste versjonene:
|
Produkt |
Oppdatert versjon |
Plattform |
Prioritet Klassifisering |
Tilgjengelighet |
|---|---|---|---|---|
|
ColdFusion 2025 |
Oppdatering 1 |
Alle |
1 |
|
|
ColdFusion 2023 |
Oppdatering 13 |
Alle |
1 |
|
|
ColdFusion 2021 |
Oppdatering 19 |
Alle |
1 |
Merk:
Se den oppdaterte dokumentasjonen for det serielle filteret for mer informasjon om beskyttelse mot usikre Wddx-deserialiseringsangrep https://helpx.adobe.com/no/coldfusion/kb/coldfusion-serialfilter-file.html
Informasjon om sikkerhetsproblemet
|
Sikkerhetsproblemkategori |
Sikkerhetsprobleminnvirkning |
Alvorlighetsgrad |
CVSS-grunnscore |
CVE-numre |
|
|
Feil inndatavalidering (CWE-20) |
Vilkårlig lesing av filsystem |
Kritisk |
9.1 |
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H |
CVE-2025-24446 |
|
Deserialisering av ikke-klarerte data (CWE-502) |
Kjøring av vilkårlig kode |
Kritisk |
9.1 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N |
CVE-2025-24447 |
|
Feil tilgangskontroll (CWE-284) |
Arbitrært filsystem-lesing |
Kritisk |
9.1 |
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H |
CVE-2025-30281 |
|
Ukorrekt autentisering (CWE-287) |
Kjøring av vilkårlig kode |
Kritisk |
9.1 |
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H |
CVE-2025-30282 |
|
Deserialisering av ikke-klarerte data (CWE-502) |
Kjøring av vilkårlig kode |
Kritisk |
8.0 |
CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:C/C:H/I:H/A:H |
CVE-2025-30284 |
|
Deserialisering av ikke-klarerte data (CWE-502) |
Kjøring av vilkårlig kode |
Kritisk |
8.0 |
CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:C/C:H/I:H/A:H |
CVE-2025-30285 |
|
Feil nøytralisering av spesialelementer brukt i en OS-kommando ('OS-kommandoinjeksjon') (CWE-78) |
Kjøring av vilkårlig kode |
Kritisk |
8.0 |
CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:C/C:H/I:H/A:H |
CVE-2025-30286 |
|
Ukorrekt autentisering (CWE-287) |
Kjøring av vilkårlig kode |
Kritisk |
8.1 |
CVSS:3.1/AV:L/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H |
CVE-2025-30287 |
|
Feil tilgangskontroll (CWE-284) |
Omgåelse av sikkerhetsfunksjon |
Kritisk |
7.8 |
CVSS:3.1/AV:L/AC:H/PR:L/UI:N/S:C/C:H/I:H/A:H |
CVE-2025-30288 |
|
Feil nøytralisering av spesialelementer brukt i en OS-kommando ('OS-kommandoinjeksjon') (CWE-78) |
Kjøring av vilkårlig kode |
Kritisk |
7.5 |
CVSS:3.1/AV:L/AC:H/PR:L/UI:N/S:C/C:H/I:H/A:N |
CVE-2025-30289 |
|
Feil begrensning av banekrysning til en begrenset katalog (Path Traversal) (CWE-22) |
Omgåelse av sikkerhetsfunksjon |
Kritisk |
8.7 |
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:N/I:H/A:H |
CVE-2025-30290 |
|
Informasjonseksponering (CWE-200) |
Omgåelse av sikkerhetsfunksjon |
Viktig |
6.2 |
CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N |
CVE-2025-30291 |
|
Skriping på tvers av nettsteder (Reflektert XSS) (CWE-79) |
Kjøring av vilkårlig kode |
Viktig |
6.1 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N |
CVE-2025-30292 |
|
Feil inndatavalidering (CWE-20) |
Omgåelse av sikkerhetsfunksjon |
Viktig |
6.8 |
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:N/I:H/A:N |
CVE-2025-30293 |
|
Feil inndatavalidering (CWE-20) |
Omgåelse av sikkerhetsfunksjon |
Viktig |
6.5 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N |
CVE-2025-30294 |
Anerkjennelser:
Adobe takker følgende forskere for at de rapporterte dette problemet, og for at de samarbeider med Adobe for å hjelpe oss med å beskytte kundene våre:
- nbxiglk - CVE-2025-24446, CVE-2025-30281, CVE-2025-30282, CVE-2025-30284, CVE-2025-30285, CVE-2025-30286, CVE-2025-30289
- Brian Reilly (reillyb) - CVE-2025-24447, CVE-2025-30288, CVE-2025-30290, CVE-2025-30291, CVE-2025-30292, CVE-2025-30293, CVE-2025-30294
- cioier - CVE-2025-30287
MERK: Adobe har et offentlig bug-bounty-program med HackerOne. Hvis du er interessert i å jobbe med Adobe som en ekstern sikkerhetsforsker, kan du sjekke ut https://hackerone.com/adobe
Merk:
Adobe anbefaler at du oppdaterer ColdFusion JDK/JRE LTS-versjonen til den nyeste oppdateringsutgivelsen som et sikkerhetstiltak. Nedlastingssiden ColdFusion oppdateres jevnlig for å inkludere de nyeste Java-installasjonsprogrammene for den JDK-versjonen som støttes av installasjonen, i henhold til matrisene nedenfor.
Du finner instruksjoner om hvordan du bruker et eksternt JDK under Endre ColdFusion JVM.
Adobe anbefaler også kunden å anvende innstillingene for sikkerhetskonfigurasjon som beskrevet i ColdFusion sikkerhetsdokumentasjon og se respektive veiledninger om låsing.
Krav for ColdFusion JDK
COLDFUSION 2025 (versjon 2023.0.0.331385) og nyere
For applikasjonsservere
På JEE-installasjoner må du sette JVM-flagget «-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**; !com.mysql.cj.jdbc.interceptors.**;!org.apache.commons.collections.**;» i respektive oppstartsfil avhengig av typen applikasjonsserver som brukes.
Eksempel:
Applikasjonsserveren Apache Tomcat: Rediger JAVA_OPTS i filen Catalina.bat/sh
WebLogic-applikasjonsserver: Rediger JAVA_OPTIONS i filen startWeblogic.cmd
Applikasjonsserveren WildFly/EAP: Rediger JAVA_OPTS i filen standalone.conf
Sett JVM-flaggene på en JEE-installasjon av ColdFusion, ikke på en frittstående installasjon.
COLDFUSION 2023 (versjon 2023.0.0.330468) og nyere
For applikasjonsservere
På JEE-installasjon installasjoner må du sette JVM-flagget «-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**; !com.mysql.cj.jdbc.interceptors.**;!org.apache.commons.collections.**;» i respektive oppstartsfil avhengig av typen applikasjonsserver som brukes.
Eksempel:
Applikasjonsserveren Apache Tomcat: Rediger JAVA_OPTS i filen Catalina.bat/sh
WebLogic-applikasjonsserver: Rediger JAVA_OPTIONS i filen startWeblogic.cmd
Applikasjonsserveren WildFly/EAP: Rediger JAVA_OPTS i filen standalone.conf
Sett JVM-flaggene på en JEE-installasjon av ColdFusion, ikke på en frittstående installasjon.
COLDFUSION 2021 (Versjon 2021.0.0.323925) og nyere
For applikasjonsservere
På JEE-installasjoner må du sette JVM-flagget «-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**; !com.mysql.cj.jdbc.interceptors.**;!org.apache.commons.collections.**;"
i respektive oppstartsfil avhengig av typen applikasjonsserver som brukes.
For eksempel:
Apache Tomcat-applikasjonsserver: Rediger JAVA_OPTS i filen Catalina.bat/sh
WebLogic-applikasjonsserver: Rediger JAVA_OPTIONS i filen startWeblogic.cmd
WildFly/EAP-applikasjonsserver: Rediger JAVA_OPTS i filen standalone.conf
Sett JVM-flaggene på en JEE-installasjon av ColdFusion, ikke på en frittstående installasjon.
Hvis du vil ha mer informasjon, kan du se https://helpx.adobe.com/no/security.html eller sende en e-postmelding til PSIRT@adobe.com
