2025-1819: Adobe ColdFusion: Mehrere Schwachstellen ermöglichen u. a. das Ausspähen von Informationen

Historie:

Version 1 (2025-07-09 12:50)

Neues Advisory

Betroffene Software

Entwicklung

Betroffene Plattformen

Apple
Linux
Microsoft

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um Informationen auszuspähen, Sicherheitsvorkehrungen zu umgehen, beliebigen Programmcode auszuführen und einen Denial-of-Service (DoS)-Angriff durchzuführen. Zudem kann ein Angreifer eine weitere Schwachstelle im benachbarten Netzwerk ausnutzen, um Privilegien zu eskalieren.

Für die Ausnutzung der Schwachstellen sind unterschiedliche Privilegien erforderlich. Mehrere Schwachstellen erfordern die Interaktion eines Benutzers. Die erfolgreiche Ausnutzung kann bei der Mehrzahl der Schwachstellen Einfluss auf andere Komponenten haben.

Adobe stellt die ColdFusion Versionen 2021 Update 21, 2023 Update 15 und 2025 Update 3 als Sicherheitsupdates zur Verfügung, um die aufgeführten Schwachstellen zu beheben. Fünf der mit den Sicherheitsupdates adressierten Schwachstellen werden vom Hersteller als kritisch eingestuft.

Wie üblich empfiehlt Adobe für eine umfängliche Absicherung des Servers neben dem ColdFusion Update auch eine Aktualisierung des Java Development Kits (JDK) bzw. Java Runtime Environments (JRE) auf die letzte verfügbare Version des LTS Releases für JDK 11 (ColdFusion 2021 und ColdFusion 2023 Solaris), JDK 17 (ColdFusion 2023) beziehungsweise JDK 21 (ColdFusion 2025).

Weiterhin weist der Hersteller darauf hin, dass aus Sicherheitsgründen dringend der neueste MySQL-Java-Connector eingesetzt werden soll.

Zusätzlich empfiehlt der Hersteller, ebenfalls wie üblich, die Umsetzung der Sicherheitskonfigurationsempfehlungen, die über die ColdFusion Security Seite verfügbar sind. Auch wird eine Überprüfung der in der Sicherheitsmeldung referenzierten Versions-spezifischen Lockdown Guides empfohlen.

Schwachstellen:

CVE-2025-49535

Schwachstelle in Adobe ColdFusion ermöglicht u. a. Ausspähen von Informationen

CVE-2025-49536

Schwachstelle in Adobe ColdFusion ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2025-49537

Schwachstelle in Adobe ColdFusion ermöglicht u. a. Ausspähen von Informationen

CVE-2025-49538

Schwachstelle in Adobe ColdFusion ermöglicht u. a. Ausspähen von Informationen

CVE-2025-49539

Schwachstelle in Adobe ColdFusion ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2025-49540 CVE-2025-49541 CVE-2025-49543

Schwachstellen in Adobe ColdFusion ermöglichen Ausführen beliebigen Programmcodes

CVE-2025-49542

Schwachstelle in Adobe ColdFusion ermöglicht Ausführen beliebigen Programmcodes

CVE-2025-49544

Schwachstelle in Adobe ColdFusion ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2025-49545

Schwachstelle in Adobe ColdFusion ermöglicht Ausspähen von Informationen

CVE-2025-49546

Schwachstelle in Adobe ColdFusion ermöglicht Denial-of-Service-Angriff

CVE-2025-49551

Schwachstelle in Adobe ColdFusion ermöglicht Privilegieneskalation

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.