安全性公告 ID
上次更新時間
2025年4月24日
發佈 Adobe ColdFusion 的安全性更新 | APSB25-15
|
|
發布日期 |
優先順序 |
|
APSB25-15 |
2025 年 4 月 8 日 |
1 |
摘要
受影響的版本
|
產品 |
更新編號 |
平台 |
|
ColdFusion 2025 |
組件編號 331385 |
全部 |
|
ColdFusion 2023 |
更新 12 (含) 以前版本 |
全部 |
|
ColdFusion 2021 |
更新 18 和舊版 |
全部 |
解決方法
Adobe 將這些更新歸類為以下的優先順序分級,並建議使用者將其安裝更新為最新版本:
註解:
請參閱更新的序列篩選文件,深入瞭解如何防止不安全的 Wddx 還原序列化攻擊 https://helpx.adobe.com/tw/coldfusion/kb/coldfusion-serialfilter-file.html
漏洞詳細資料
|
漏洞類別 |
漏洞影響 |
嚴重性 |
CVSS 基本評分 |
CVE 編號 |
|
|
輸入驗證不當 (CWE-20) |
檔案系統任意讀取 |
重大 |
9.1 |
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H |
CVE-2025-24446 |
|
不信任資料的還原序列化 (CWE-502) |
任意執行程式碼 |
重大 |
9.1 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N |
CVE-2025-24447 |
|
存取控制不當 (CWE-284) |
檔案系統任意讀取 |
重大 |
9.1 |
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H |
CVE-2025-30281 |
|
不當授權 (CWE-287) |
任意執行程式碼 |
重大 |
9.1 |
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H |
CVE-2025-30282 |
|
不信任資料的還原序列化 (CWE-502) |
任意執行程式碼 |
重大 |
8.0 |
CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:C/C:H/I:H/A:H |
CVE-2025-30284 |
|
不信任資料的還原序列化 (CWE-502) |
任意執行程式碼 |
重大 |
8.0 |
CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:C/C:H/I:H/A:H |
CVE-2025-30285 |
|
作業系統命令使用不適當的中和特殊元素 (「OS Command Injection」) (CWE-78) |
任意執行程式碼 |
重大 |
8.0 |
CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:C/C:H/I:H/A:H |
CVE-2025-30286 |
|
不當授權 (CWE-287) |
任意執行程式碼 |
重大 |
8.1 |
CVSS:3.1/AV:L/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H |
CVE-2025-30287 |
|
存取控制不當 (CWE-284) |
無故略過安全功能 |
重大 |
7.8 |
CVSS:3.1/AV:L/AC:H/PR:L/UI:N/S:C/C:H/I:H/A:H |
CVE-2025-30288 |
|
作業系統命令使用不適當的中和特殊元素 (「OS Command Injection」) (CWE-78) |
任意執行程式碼 |
重大 |
7.5 |
CVSS:3.1/AV:L/AC:H/PR:L/UI:N/S:C/C:H/I:H/A:N |
CVE-2025-30289 |
|
將路徑名稱不當限制為受限目錄 (「造訪路徑」) (CWE-22) |
無故略過安全功能 |
重大 |
8.7 |
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:N/I:H/A:H |
CVE-2025-30290 |
|
資訊外洩 (CWE-200) |
無故略過安全功能 |
重要 |
6.2 |
CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N |
CVE-2025-30291 |
|
跨網站指令碼 (反映式 XSS) (CWE-79) |
任意執行程式碼 |
重要 |
6.1 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N |
CVE-2025-30292 |
|
輸入驗證不當 (CWE-20) |
無故略過安全功能 |
重要 |
6.8 |
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:N/I:H/A:N |
CVE-2025-30293 |
|
輸入驗證不當 (CWE-20) |
無故略過安全功能 |
重要 |
6.5 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N |
CVE-2025-30294 |
鳴謝:
Adobe 在此感謝以下研究人員回報此問題,與 Adobe 共同保護我們的客戶:
- nbxiglk - CVE-2025-24446、CVE-2025-30281、CVE-2025-30282、CVE-2025-30284、CVE-2025-30285、CVE-2025-30286、CVE-2025-30289
- Brian Reilly (reillyb) - CVE-2025-24447、CVE-2025-30288、CVE-2025-30290、CVE-2025-30291、CVE-2025-30292、CVE-2025-30293、CVE-2025-30294
- cioier - CVE-2025-30287
備註:Adobe 與 HackerOne 推出一個公開錯誤懸賞計畫。如果您有興趣以外部安全研究人員身分與 Adobe 合作,請參考:https://hackerone.com/adobe
註解:
Adobe 建議您將 ColdFusion JDK/JRE LTS 更新至最新版本以建立安全防護。 ColdFusion 下載頁面將定期更新以根據下方矩陣提供最新版 Java 安裝程式以供您安裝所支援的 JDK 版本使用。
如要深入了解使用外部 JDK 的詳細說明,請查看〈變更 ColdFusion JVM〉。
Adobe 也建議套用 ColdFusion 安全性文件所提供的安全性組態設定,並檢閱個別的鎖定指南。
ColdFusion JDK 需求
COLDFUSION 2025 (版本 2023.0.0.331385) 及更新版本
針對應用程式伺服器
在安裝 JEE 時,請根據使用的應用程式伺服器類型,在相應的啟動檔案中,設定下列 JVM 旗標:「-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**; !com.mysql.cj.jdbc.interceptors.**;!org.apache.commons.collections.**」。
例如:
Apache Tomcat 應用程式伺服器:編輯「Catalina.bat/sh」檔案中的 JAVA_OPTS
WebLogic 應用程式伺服器:編輯「startWeblogic.cmd」檔案中的 JAVA_OPTIONS
WildFly/EAP 應用程式伺服器:編輯「standalone.conf」檔案中的 JAVA_OPTS
請在與 ColdFusion 一起安裝而非獨立安裝的 JEE 上,設定 JVM 旗標。
COLDFUSION 2023 (版本 2023.0.0.330468) 及更新版本
針對應用程式伺服器
在安裝 JEE 時,請根據使用的應用程式伺服器類型,在相應的啟動檔案中,設定下列 JVM 旗標:「-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**; !com.mysql.cj.jdbc.interceptors.**;!org.apache.commons.collections.**」。
例如:
Apache Tomcat 應用程式伺服器:編輯「Catalina.bat/sh」檔案中的 JAVA_OPTS
WebLogic 應用程式伺服器:編輯「startWeblogic.cmd」檔案中的 JAVA_OPTIONS
WildFly/EAP 應用程式伺服器:編輯「standalone.conf」檔案中的 JAVA_OPTS
請在與 ColdFusion 一起安裝而非獨立安裝的 JEE 上,設定 JVM 旗標。
COLDFUSION 2021 (版本 2021.0.0.323925) 及更高版本
針對應用程式伺服器
在安裝 JEE 時,請根據使用的應用程式伺服器類型,在相應的啟動檔案中,設定下列 JVM 旗標:「-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**; !com.mysql.cj.jdbc.interceptors.**;!org.apache.commons.collections.**;"
。
例如:
Apache Tomcat 應用程式伺服器:編輯「Catalina.bat/sh 」檔案中的 JAVA_OPTS
WebLogic 應用程式伺服器: 編輯「startWeblogic.cmd」檔案中的 JAVA_OPTIONS
WildFly/EAP 應用程式伺服器: 編輯「standalone.conf」檔案中的 JAVA_OPTS
請在與 ColdFusion 一起安裝而非獨立安裝的 JEE 上,設定 JVM 旗標.
如需詳細資訊,請造訪 https://helpx.adobe.com/tw/security.html,或傳送電子郵件至 PSIRT@adobe.com
