شرکت Adobe به روزرسانیهای امنیتی جدیدی را برای رفع مجموعهای از آسیبپذیریها منتشر کرد که شامل چندین نقص حیاتی در نسخههای ColdFusion 2025، 2023 و 2021 است.
- CVE-2025-24446 (امتیاز 9.1): آسیبپذیری در اعتبارسنجی ورودی که منجر به خواندن فایل دلخواه در سیستم میشود.
- CVE-2025-24447 (امتیاز 9.1): آسیبپذیری در سریالزدایی دادهی غیرقابل اعتماد که امکان اجرای کد را فراهم میکند.
- CVE-2025-30281 (امتیاز 9.1): آسیبپذیری در کنترل دسترسی که منجر به خواندن فایل دلخواه در سیستم میشود.
- CVE-2025-30282 (امتیاز 9.1): آسیبپذیری در احراز هویت که منجر به اجرای کد دلخواه میشود.
- CVE-2025-3028/ 30285 (امتیاز 8.0): آسیب پذیریهای سریالزدایی از داده غیرقابل اعتماد که منجر به اجرای کد دلخواه میشود.
- CVE-2025-30286 (امتیاز 8.0): آسیبپذیری تزریق فرمان سیستمعامل با قابلیت اجرای کد دلخواه.
- CVE-2025-30287 (امتیاز 8.1): آسیبپذیری در احراز هویت که منجر به اجرای کد میشود.
- CVE-2025-30288 (امتیاز 7.8): آسیبپذیری در کنترل دسترسی که منجر به عبور از ویژگی امنیتی میشود.
- CVE-2025-30289 (امتیاز 7.5): آسیبپذیری تزریق فرمان سیستمعامل که منجر به اجرای کد میشود.
- CVE-2025-30290 (امتیاز 8.7): آسیبپذیری عبور از مسیر که منجر به عبور از راهکارهای امنیتی میشود.
همچنین آسیبپذیریهایی از نوع نوشتن خارج از محدوده و سرریز بافر در حافظه heap برطرف شدهاند که میتوانند منجر به اجرای کد دلخواه شوند:
- CVE-2025-27182, CVE-2025-27183 و امتیاز 7.8 در After Effects
- CVE-2025-27194, CVE-2025-27195 و امتیاز 7.8 در Media Encoder
- CVE-2025-27193 و امتیاز 7.8 در Bridge
- CVE-2025-27196 و امتیاز 7.8 در Premiere Pro
- CVE-2025-27198 و امتیاز 7.8 در Photoshop
- CVE-2025-27199 و امتیاز 7.8 در Animate
- CVE-2025-30304, CVE-2025-30297, CVE-2025-30295 و امتیاز 7.8 در FrameMaker
Adobe گفت که هیچ نشانهای از اکسپلویت فعال وجود ندارد، اما بهتر است کاربران سریعتر سیستمهای خود را به روزرسانی کنند تا از تهدیدات احتمالی در امان بمانند. نسخههای وصله شده به شرح زیر هستند:
- ColdFusion 2021 Update 19
- ColdFusion 2023 Update 13, and
- ColdFusion 2025 Update 1
https://thehackernews.com/2025/04/adobe-patches-11-critical-coldfusion.html
