Bulletin-ID
Senast uppdaterad den
17 juli 2025
Säkerhetsuppdateringar tillgängliga för Adobe ColdFusion | APSB25-69
|
|
Publiceringsdatum |
Prioritet |
|
APSB25-69 |
8 juli 2025 |
1 |
Sammanfattning
Adobe har släppt säkerhetsuppdateringar för ColdFusion versionerna 2025, 2023 och 2021. Dessa uppdateringar åtgärda sårbarheter som är av avgörande vikt, viktiga och lindriga och som kan leda till godtycklig filsystemsläsning, godtycklig kodkörning och behörighetseskalering, åsidosättande av säkerhet och programöverbelastning.
Adobe har inga rapporter om att något problem som åtgärdas i dessa uppdateringar ska ha utnyttjats.
Berörda versioner
|
Produkt |
Uppdateringsnummer |
Plattform |
|
ColdFusion 2025 |
Uppdatering 2 och tidigare versioner |
Alla |
|
ColdFusion 2023 |
Uppdatering 14 och tidigare versioner |
Alla |
|
ColdFusion 2021 |
Uppdatering 20 och tidigare versioner |
Alla |
Lösning
Adobe ger dessa uppdateringar följande prioritetsklassificering och rekommenderar användare att uppdatera till den senaste versionen:
|
Produkt |
Uppdaterad version |
Plattform |
Prioritetsklassificering |
Tillgänglighet |
|---|---|---|---|---|
|
ColdFusion 2025 |
Uppdatering 3 |
Alla |
1 |
|
|
ColdFusion 2023 |
Uppdatering 15 |
Alla |
1 |
|
|
ColdFusion 2021 |
Uppdatering 21 |
Alla |
1 |
Obs!
Av säkerhetsskäl rekommenderar vi starkt att du använder den senaste MySQL Java-anslutningen. Mer information om hur du använder det hittar du på: https://helpx.adobe.com/coldfusion/kb/coldfusion-configuring-mysql-jdbc.html
Se den uppdaterade dokumentationen för seriefiltret för mer information om skydd mot osäkra Wddx-deserialiseringsattacker https://helpx.adobe.com/se/coldfusion/kb/coldfusion-serialfilter-file.html
Sårbarhetsinformation
|
Sårbarhetskategori |
Sårbarhetens inverkan |
Allvarlighet |
CVSS-baspoäng |
CVE-nummer |
|
|
Felaktig begränsning av XML för extern enhetsreferens ('XXE') (CWE-611) |
Godtycklig läsning av filsystem |
Kritisk |
9,3 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:N/A:L |
CVE-2025-49535 |
|
Användning av hårdkodade autentiseringsuppgifter (CWE-798) |
Eskalering av behörighet |
Kritisk |
8.8 |
CVSS:3.1/AV:A/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
CVE-2025-49551 |
|
Felaktig auktorisering (CWE-863) |
Åsidosättning av säkerhetsfunktion |
Kritisk |
8.1 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N |
CVE-2025-49536 |
|
Felaktig neutralisering av specialelement som används i ett OS-kommando (”OS-kommandoinjektion”) (CWE-78) |
Godtycklig läsning av filsystem |
Kritisk |
8.1 |
CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:C/C:H/I:H/A:H |
CVE-2025-49537 |
|
XML-injektion (även kallad indragen XPath-injektion) (CWE-91) |
Godtycklig läsning av filsystem |
Kritisk |
7.4 |
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:H |
CVE-2025-49538 |
|
Felaktig begränsning av XML för extern enhetsreferens ('XXE') (CWE-611) |
Åsidosättning av säkerhetsfunktion |
Viktig |
6.5 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N |
CVE-2025-49539 |
|
Serveröverskridande skriptning (lagrad XSS) (CW-79) |
Exekvering av godtycklig kod |
Viktigt |
4.8 |
CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:N |
CVE-2025-49540 |
|
Serveröverskridande skriptning (lagrad XSS) (CW-79) |
Exekvering av godtycklig kod |
Viktigt |
4.8 |
CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:N |
CVE-2025-49541 |
|
Serveröverskridande skriptning (lagrad XSS) (CW-79) |
Exekvering av godtycklig kod |
Viktigt |
6.1 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N |
CVE-2025-49542 |
|
Serveröverskridande skriptning (lagrad XSS) (CW-79) |
Exekvering av godtycklig kod |
Viktigt |
4.8 |
CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:N |
CVE-2025-49543 |
|
Felaktig begränsning av XML för extern enhetsreferens ('XXE') (CWE-611) |
Åsidosättning av säkerhetsfunktion |
Viktigt |
6.8 |
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:N/A:N |
CVE-2025-49544 |
|
Förfalskad begäran på serversidan (SSRF) (CWE-918) |
Godtycklig läsning av filsystem |
Viktigt |
6.8 |
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:N/A:N |
CVE-2025-49545 |
|
Felaktig åtkomstkontroll (CWE-284) |
Denial-of-service för program |
Måttlig |
2.7 |
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:L |
CVE-2025-49546 |
Tack:
Adobe tackar följande forskare för att de har rapporterat det här problemet och för att de samarbetar med Adobe i säkerhetsfrågor:
- anonymous_blackzero - CVE-2025-49536, CVE-2025-49542, CVE-2025-49543, CVE-2025-49544
- nbxiglk - CVE-2025-49535, CVE-2025-49537, CVE-2025-49551
- Brian Reilly (reillyb) - CVE-2025-49539, CVE-2025-49545
- the_predator - CVE-2025-49540, CVE-2025-49541
- Ashish Dhone (ashketchum) - CVE-2025-49546
- Nhien Pham (nhienit2010) - CVE-2025-49538
Obs! Adobe har ett offentligt program ihop med HackerOne för att hitta fel. Om du är intresserad av att arbeta med Adobe som extern säkerhetsforskare kan du läsa mer på https://hackerone.com/adobe
Obs!
Adobe rekommenderar att du uppdaterar ColdFusion JDK/JRE LTS-versionen till den senaste uppdaterade versionen som en säker praxis. ColdFusions hämtningssida uppdateras regelbundet för att inkludera de senaste Java-installationsprogrammen för den JDK-version som din installation stöder enligt matriserna nedan.
- Supportmatris för ColdFusion 2025
- Supportmatris för ColdFusion 2023
- Supportmatris för ColdFusion 2021
Anvisningar om hur du använder en extern JDK finns i Ändra ColdFusion JVM.
Adobe rekommenderar också att du använder de säkerhetskonfigurationsinställningar som finns i ColdFusion Security-dokumentationen samt att du läser igenom respektive Lockdown-guide.
JDK-krav för ColdFusion
COLDFUSION 2025 (version 2023.0.0.331385) och senare versioner
För applikationsservrar
På JEE-installationer ställer du in följande JVM-flagga, “-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**; !com.mysql.cj.jdbc.interceptors.**;!org.apache.commons.collections.**;" i respektive startfil beroende på vilken typ av applikationsserver som används.**
Till exempel:
Apache Tomcat-programserver: utgåva JAVA_OPTS i ”Catalina.bat/sh”-filen
WebLogic-programserver: utgåva JAVA_OPTIONS i ”startWeblogic.cmd”-filen
WildFly/EAP-programserver: utgåva JAVA_OPTS i ”standalone.conf”-filen
Ställ in JVM-flaggor på en JEE-installation av ColdFusion, inte på en fristående installation.
COLDFUSION 2023 (version 2023.0.0.330468) och senare versioner
För applikationsservrar
På JEE-installationer ställer du in följande JVM-flagga, “-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**; !com.mysql.cj.jdbc.interceptors.**;!org.apache.commons.collections.**;" i respektive startfil beroende på vilken typ av applikationsserver som används.
Till exempel:
Apache Tomcat-programserver: utgåva JAVA_OPTS i ”Catalina.bat/sh”-filen
WebLogic-programserver: utgåva JAVA_OPTIONS i ”startWeblogic.cmd”-filen
WildFly/EAP-programserver: utgåva JAVA_OPTS i ”standalone.conf”-filen
Ställ in JVM-flaggor på en JEE-installation av ColdFusion, inte på en fristående installation.
COLDFUSION 2021 (version 2021.0.0.323925) och senare
För programservrar
På JEE-installationer ska följande JVM-flagga anges “: -Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**; !com.mysql.cj.jdbc.interceptors.**;!org.apache.commons.collections.**;
i respektive uppstartfil beroende på vilken typ av programserver som används.
Till exempel:
Apache Tomcat programserver: Redigera JAVA_OPTS i filen Catalina.bat/sh
WebLogic programserver: Redigera JAVA_OPTIONS i filen startWeblogic.cmd
WildFly/EAP programserver: Redigera JAVA_OPTS i filen standalone.conf
Ställ in JVM-flaggorna på en JEE-installation av ColdFusion, inte på en fristående installation.
Mer information finns på https://helpx.adobe.com/se/security.html eller skicka mejl till PSIRT@adobe.com
