2025-1224: Adobe ColdFusion: Mehrere Schwachstellen ermöglichen u. a. die Eskalation von Privilegien
Historie:
- Version 1 (2025-05-14 12:26)
- Neues Advisory
Betroffene Software
Entwicklung
Betroffene Plattformen
Apple
Linux
Microsoft
Beschreibung:
Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um Daten auszuspähen und zu manipulieren, Privilegien zu eskalieren und beliebigen Programmcode auszuführen.
Für die Ausnutzung der meisten Schwachstellen sind erweiterte Privilegien erforderlich. Eine Schwachstelle erfordert die Interaktion eines Benutzers. Die erfolgreiche Ausnutzung der meisten Schwachstellen kann Einfluss auf andere Komponenten haben.
Adobe veröffentlicht die ColdFusion Versionen 2021 Update 20, 2023 Update 14 und 2025 Update 2 als Sicherheitsupdates, um die aufgeführten Schwachstellen zu beheben. Bis auf eine Schwachstelle werden alle mit den Sicherheitsupdates adressierten Schwachstellen als kritisch bewertet.
Zusätzlich weist Adobe, wie üblich, darauf hin, dass für eine umfängliche Absicherung des Servers neben dem ColdFusion Update auch eine Aktualisierung des Java Development Kits (JDK) bzw. Java Runtime Environments (JRE) auf die letzte verfügbare Version des LTS Releases für JDK 11 (ColdFusion 2021), JDK 17 (ColdFusion 2023) beziehungsweise JDK 21 (ColdFusion 2025) erfolgen muss.
Aus Sicherheitsgründen empfiehlt der Hersteller dringend, den neuesten MySQL-Java-Connector einzusetzen.
Zusätzlich weist der Hersteller, ebenfalls wie üblich, auf die Umsetzung der Sicherheitskonfigurationsempfehlungen hin, die über die ColdFusion Security Seite verfügbar sind. Auch wird eine Überprüfung der in der Sicherheitsmeldung referenzierten Versions-spezifischen Lockdown Guides empfohlen.
Schwachstellen:
CVE-2025-43559
Schwachstelle in Adobe ColdFusion ermöglicht u. a. Ausspähen von InformationenCVE-2025-43560
Schwachstelle in Adobe ColdFusion ermöglicht Ausführen beliebigen ProgrammcodesCVE-2025-43561
Schwachstelle in Adobe ColdFusion ermöglicht u. a. Ausspähen von InformationenCVE-2025-43562
Schwachstelle in Adobe ColdFusion ermöglicht Ausführen beliebigen ProgrammcodesCVE-2025-43563
Schwachstelle in Adobe ColdFusion ermöglicht PrivilegieneskalationCVE-2025-43564
Schwachstelle in Adobe ColdFusion ermöglicht Ausführen beliebigen ProgrammcodesCVE-2025-43565
Schwachstelle in Adobe ColdFusion ermöglicht Ausführen beliebigen ProgrammcodesCVE-2025-43566
Schwachstelle in Adobe ColdFusion ermöglicht Ausspähen von Informationen
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.