2025-3432: Adobe ColdFusion: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes
Historie:
- Version 1 (2025-12-10 12:11)
- Neues Advisory
Betroffene Software
Entwicklung
Betroffene Plattformen
Apple
Linux
Microsoft
Beschreibung:
Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um Informationen auszuspähen, Privilegien zu eskalieren, Sicherheitsvorkehrungen zu umgehen, beliebigen Programmcode auszuführen und die Verfügbarkeit zu beeinträchtigen. Mehrere weitere Schwachstellen kann ein Angreifer im benachbarten Netzwerk ausnutzen, um Dateien zu manipulieren, Informationen auszuspähen und beliebigen Programmcode auszuführen. Eine Schwachstelle kann lokal ausgenutzt werden, um Privilegien zu eskalieren.
Für die Ausnutzung der Schwachstellen sind unterschiedliche Privilegien erforderlich. Mehrere Schwachstellen erfordern die Interaktion eines Benutzers. Die erfolgreiche Ausnutzung der meisten Schwachstellen kann Einfluss auf andere Komponenten haben. Sieben der aufgeführten Schwachstellen werden vom Hersteller als kritisch eingestuft.
Adobe stellt die ColdFusion Versionen 2021 Update 23, 2023 Update 17 und 2025 Update 5 als Sicherheitsupdates zur Verfügung, um die Schwachstellen zu beheben.
Wie üblich empfiehlt Adobe für eine umfängliche Absicherung des Servers neben der Installation des ColdFusion Sicherheitsupdates auch eine Aktualisierung des Java Development Kits (JDK) bzw. Java Runtime Environments (JRE) auf die letzte verfügbare Version des LTS Releases für JDK 11 (ColdFusion 2021 und ColdFusion 2023 Solaris), JDK 17 (ColdFusion 2023) beziehungsweise JDK 21 (ColdFusion 2025).
Weiterhin weist der Hersteller darauf hin, dass aus Sicherheitsgründen dringend der neueste MySQL-Java-Connector eingesetzt werden soll.
Im Zuge der Veröffentlichung der neuesten Sicherheitsupdates empfiehlt der Hersteller, ebenfalls wie üblich, die Umsetzung der Sicherheitskonfigurationsempfehlungen, die über die ColdFusion Security Seite verfügbar sind. Auch wird eine Überprüfung der in der Sicherheitsmeldung referenzierten Versions-spezifischen Lockdown Guides empfohlen.
Schwachstellen:
CVE-2025-61808
Schwachstelle in Adobe ColdFusion ermöglicht Ausführen beliebigen ProgrammcodesCVE-2025-61809
Schwachstelle in Adobe ColdFusion ermöglicht Umgehen von SicherheitsvorkehrungenCVE-2025-61810 CVE-2025-61830
Schwachstellen in Adobe ColdFusion ermöglichen Ausführen beliebigen ProgrammcodesCVE-2025-61811
Schwachstelle in Adobe ColdFusion ermöglicht Ausführen beliebigen ProgrammcodesCVE-2025-61812
Schwachstelle in Adobe ColdFusion ermöglicht Ausführen beliebigen ProgrammcodesCVE-2025-61813
Schwachstelle in Adobe ColdFusion ermöglicht u. a. Ausspähen von InformationenCVE-2025-61821
Schwachstelle in Adobe ColdFusion ermöglicht Ausspähen von InformationenCVE-2025-61822
Schwachstelle in Adobe ColdFusion ermöglicht Manipulation von DateienCVE-2025-61823
Schwachstelle in Adobe ColdFusion ermöglicht Ausspähen von InformationenCVE-2025-64897
Schwachstelle in Adobe ColdFusion ermöglicht PrivilegieneskalationCVE-2025-64898
Schwachstelle in Adobe ColdFusion ermöglicht Privilegieneskalation
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.