2025-0904: Adobe ColdFusion: Mehrere Schwachstellen ermöglichen u. a. das Ausspähen von Informationen

Historie:

Version 1 (2025-04-09 17:48): Neues Advisory

Betroffene Software

Entwicklung

Betroffene Plattformen

Apple
Linux
Microsoft

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um Informationen auszuspähen, Sicherheitsvorkehrungen zu umgehen, beliebigen Programmcode mit den Rechten des betroffenen Dienstes auszuführen und einen Cross-Site-Scripting (XSS)-Angriff durchzuführen. Zudem kann ein Angreifer mehrere Schwachstellen lokal ausnutzen, um Informationen auszuspähen, Sicherheitsvorkehrungen zu umgehen und beliebigen Programmcode mit den Rechten des betroffenen Dienstes auszuführen.

Für die Ausnutzung der Schwachstellen sind unterschiedliche Privilegien erforderlich. Eine Schwachstelle erfordert die Interaktion eines Benutzers. Die erfolgreiche Ausnutzung mehrerer Schwachstellen kann Einfluss auf andere Komponenten haben.

Adobe veröffentlicht die ColdFusion Versionen 2021 Update 19, 2023 Update 13 und 2025 Update 1 als Sicherheitsupdates, um die aufgeführte Schwachstelle zu beheben. Zusätzlich weist Adobe wie üblich darauf hin, dass für eine umfängliche Absicherung des Servers neben dem ColdFusion Update auch eine Aktualisierung des Java Development Kits (JDK) bzw. Java Runtime Environments (JRE) auf die letzte verfügbare Version des LTS Releases für JDK 11 (ColdFusion 2021), JDK 17 (ColdFusion 2023) beziehungsweise JDK 21 (ColdFusion 2025) erfolgen muss.

Zusätzlich empfiehlt der Hersteller, ebenfalls wie üblich, auch die Umsetzung der Sicherheitskonfigurationsempfehlungen, die über die ColdFusion Security Seite verfügbar sind, sowie eine Überprüfung der in der Sicherheitsmeldung referenzierten Versions-spezifischen Lockdown Guides.