DFN-CERT-2026-0105 Adobe ColdFusion: Eine Schwachstelle ermöglicht das Ausführen beliebigen Programmcodes

DFN-CERT-2026-0105 Adobe ColdFusion: Eine Schwachstelle ermöglicht das Ausführen beliebigen Programmcodes

Von

Liebes Linux-Magazin-Team,

bitte beachten Sie die Informationen zu den verfügbaren Sicherheitsupdates
in der folgenden Sicherheitsmeldung.

Historie:

Version 1 (14.01.26):
Neues Advisory

Ein Angreifer kann eine Schwachstelle in der von Adobe ColdFusion genutzten
Software Apache Tika aus der Ferne ausnutzen, um beliebigen Programmcode
auszuführen.

Für die Ausnutzung der Schwachstelle sind keine Privilegien erforderlich.
Die erfolgreiche Ausnutzung der Schwachstelle kann Einfluss auf andere
Komponenten haben.

Adobe stellt die ColdFusion Versionen 2023 Update 18 und 2025 Update 6 als
Sicherheitsupdates zur Verfügung, um die kritische Schwachstelle zu beheben.

Zusätzlich weist Adobe darauf hin, dass aus Sicherheitsgründen dringend der
neueste MySQL-Java-Connector eingesetzt werden soll.

Weiterhin empfiehlt der Hersteller, wie üblich, für eine umfängliche
Absicherung des Servers neben der Installation des ColdFusion
Sicherheitsupdates auch eine Aktualisierung des Java Development Kits (JDK)
bzw. Java Runtime Environments (JRE) auf die letzte verfügbare Version des
LTS Releases für JDK 17 (ColdFusion 2023) beziehungsweise JDK 21 (ColdFusion
2025). Die Sicherheitsmeldungen umfasst diesmal zusätzliche Anforderungen an
die JDK Konfiguration für Applikationsserver.

Im Zuge der Veröffentlichung der neuesten Sicherheitsupdates empfiehlt der
Hersteller, wie immer, die Umsetzung der
Sicherheitskonfigurationsempfehlungen, die über die ColdFusion Security
Seite verfügbar sind. Auch wird eine Überprüfung der in der
Sicherheitsmeldung referenzierten Versions-spezifischen Lockdown Guides
empfohlen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Schwachstellenarchiv unter:
[https://adv-archiv.dfn-cert.de/adv/2026-0105]

Mit freundlichen Grüßen,
Ihr DFN-CERT Incident Response Team


(c) DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen ist auf den Ursprung in
angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für die DFN-CERT
Webseite. https://www.dfn-cert.de/impressum.html

© COMPUTEC MEDIA GmbH
Nach oben