Bulletin-ID
Sicherheitsupdates für Adobe ColdFusion verfügbar | APSB26-68
|
|
Veröffentlichungsdatum |
Priorität |
|
APSB26-68 |
30. Juni 2026 |
1 |
Zusammenfassung
Adobe hat Sicherheits-Updates für die ColdFusion-Versionen 2025 und 2023 veröffentlicht. Diese Updates beheben kritische und wichtige Sicherheitslücken, die zu willkürlicher Codeausführung, Berechtigungsausdehnung, willkürlichem Dateisystem-Lesezugriff und Umgehung der Sicherheitsfunktionen führen könnten.
Adobe sind keine Fälle bekannt, in denen die in diesen Updates behobenen Sicherheitslücken ausgenutzt wurden.
Betroffene Versionen
|
Produkt |
Updatenummer |
Plattform |
|
ColdFusion 2025 |
Update 9 und ältere Versionen |
Alle |
|
ColdFusion 2023 |
Update 20 und ältere Versionen |
Alle |
Lösung
Adobe stuft die Priorität dieser Updates wie nachstehend ein und empfiehlt die Installation allen Anwendern:
|
Produkt |
Aktualisierte Version |
Plattform |
Priorität |
Verfügbarkeit |
|---|---|---|---|---|
|
ColdFusion 2025 |
Update 10 |
Alle |
1 |
|
|
ColdFusion 2023 |
Update 21 |
Alle |
1 |
Aus Sicherheitsgründen wird dringend empfohlen, den neuesten MySQL-Java-Connector zu verwenden. Weitere Informationen zur Verwendung finden Sie unter: https://helpx.adobe.com/de/coldfusion/kb/coldfusion-configuring-mysql-jdbc.html
Weitere Informationen zum Schutz vor unsicheren Deserialisierungsangriffen finden Sie in der aktualisierten Dokumentation zum Serienfilter: https://helpx.adobe.com/de/coldfusion/kb/coldfusion-serialfilter-file.html
Sicherheitslückendetails
| Sicherheitslückenkategorie | Sicherheitslückenauswirkung | Problemstufe | CVSS-Basispunktzahl | CVSS-Vektor | CVE-Nummer |
| Uneingeschränktes Hochladen von Dateien mit gefährlichem Typ (CWE-434) | Willkürliche Codeausführung | Kritisch | 10.0 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H | CVE-2026-48276 |
| Unangemessene Eingabevalidierung (CWE-20) | Willkürliche Codeausführung | Kritisch | 10.0 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H | CVE-2026-48277 |
| Unangemessene Eingabevalidierung (CWE-20) | Willkürliche Codeausführung | Kritisch | 10.0 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H | CVE-2026-48281 |
| Unangemessene Eingabevalidierung (CWE-20) | Willkürliche Codeausführung | Kritisch | 10.0 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:N | CVE-2026-48316 |
| Unzulässige Beschränkung eines Pfadnamens auf ein eingeschränktes Verzeichnis („Pfadübergang“) (CWE-22) | Willkürliche Codeausführung | Kritisch | 10.0 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H | CVE-2026-48282 |
| Uneingeschränktes Hochladen von Dateien mit gefährlichem Typ (CWE-434) | Willkürliche Codeausführung | Kritisch | 10.0 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H | CVE-2026-48283 |
| Unzulässige Beschränkung eines Pfadnamens auf ein eingeschränktes Verzeichnis („Pfadübergang“) (CWE-22) | Willkürlicher Dateisystem-Lesezugriff | Kritisch | 9.3 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:L/A:N | CVE-2026-48313 |
| Unangemessene Eingabevalidierung (CWE-20) | Berechtigungsausweitung | Kritisch | 9.3 | CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:N | CVE-2026-48315 |
| Cross-Site-Scripting (Reflektiertes XSS) (CWE-79) | Willkürliche Codeausführung | Kritisch | 8.8 | CVSS:3.1/AV:A/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H | CVE-2026-48307 |
| Server-Side Request Forgery (SSRF) (CWE-918) | Umgehung der Sicherheitsfunktionen | Kritisch | 8.6 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:N/A:N | CVE-2026-48285 |
| Unzulässige Beschränkung eines Pfadnamens auf ein eingeschränktes Verzeichnis („Pfadübergang“) (CWE-22) | Berechtigungsausweitung | Wichtig | 6.5 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N | CVE-2026-48314 |
Danksagung:
Adobe bedankt sich bei den folgenden Forschern für das Melden dieser Schwachstellen und für die Zusammenarbeit mit Adobe zum Schutz der Sicherheit unserer Kunden.
- AnirudhAnand (a0xnirudh) - CVE-2026-48283, CVE-2026-48313
- Matan Sandori (matans1) und 2Bsecure - CVE-2026-48307
HINWEIS: Adobe hat ein öffentliches Bug-Bounty-Programm mit HackerOne. Wenn Sie an einer Zusammenarbeit mit Adobe als externer Sicherheitsforscher interessiert sind, informieren Sie sich bitte hier: https://hackerone.com/adobe
Adobe empfiehlt, als Sicherheitsmaßnahmen Ihre ColdFusion JDK/JRE LTS-Version auf die neueste Update-Version zu aktualisieren. Die Download-Seite für ColdFusion wird regelmäßig aktualisiert, um die neuesten Java-Installationsprogramme für die von Ihrer Installation unterstützte JDK-Version gemäß den nachstehenden Matrizen einzubeziehen.
Anweisungen zur Verwendung eines externen JDK finden Sie unter ColdFusion JVM ändern.
Adobe empfiehlt zudem, die Sicherheitskonfigurationseinstellungen zu verwenden, die in der ColdFusion-Dokumentation enthalten sind, und die Informationen in den jeweiligen Lockdown Guides beachten.
ColdFusion JDK-Anforderung
COLDFUSION 2025 (Version 2023.0.0.331385) und höher
Für Anwendungsserver
In JEE-Installationen legen Sie entsprechend dem Typ des verwendeten Anwendungsservers das folgende JVM-Flag in der jeweiligen Startdatei fest: „-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**; !com.mysql.cj.jdbc.interceptors.**;!org.apache.commons.collections.**;“.
Beispiel:
Apache Tomcat Anwendungs-Server: Editieren Sie JAVA_OPTS in der Datei „Catalina.bat/sh“
WebLogic Anwendungs-Server: Editieren Sie JAVA_OPTIONS in der Datei „startWeblogic.cmd“
WildFly/EAP Anwendungs-Server: Editieren Sie JAVA_OPTS in der Datei „standalone.conf“
Setzen Sie die JVM-Flags bei einer JEE-Installation von ColdFusion, nicht bei einer Standalone-Installation.
COLDFUSION 2023 (Version 2023.0.0.330468) und höher
Für Anwendungs-Server
In JEE-Installationen legen Sie entsprechend dem Typ des verwendeten Anwendungs-Servers das folgende JVM-Flag in der jeweiligen Startdatei fest: „-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**; !com.mysql.cj.jdbc.interceptors.**;!org.apache.commons.collections.**;“.
Beispiel:
Apache Tomcat Anwendungs-Server: Editieren Sie JAVA_OPTS in der Datei „Catalina.bat/sh“
WebLogic Anwendungs-Server: Editieren Sie JAVA_OPTIONS in der Datei „startWeblogic.cmd“
WildFly/EAP Anwendungs-Server: Editieren Sie JAVA_OPTS in der Datei „standalone.conf“
Setzen Sie die JVM-Flags bei einer JEE-Installation von ColdFusion, nicht bei einer Standalone-Installation.
COLDFUSION 2021 (Version 2021.0.0.323925) und höher
Für Anwendungs-Server
Setzen Sie in JEE-Installationen das JVM-Flag „-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**; !com.mysql.cj.jdbc.interceptors.**;!org.apache.commons.collections.**;“
in der Startdatei des verwendeten Anwendungs-Servers.
Beispiel:
Apache Tomcat Anwendungs-Server: Bearbeiten Sie JAVA_OPTS in der Datei „Catalina.bat/sh“
WebLogic Anwendungs-Server: Bearbeiten Sie JAVA_OPTIONS in der Datei „startWeblogic.cmd“
WildFly/EAP Anwendungs-Server: Bearbeiten Sie die JAVA_OPTS in der Datei „standalone.conf“
Setzen Sie die JVM-Flags in einer JEE-Installation von ColdFusion, nicht in einer eigenständigen Installation.
Weitere Informationen erhalten Sie unter https://helpx.adobe.com/de/security.html oder per E-Mail an PSIRT@adobe.com