Adobe ColdFusion 2021.x < 2021u19 / 2023.x < 2023u13 / 2025.x < 2025u1 多个漏洞 (APSB25-15)

critical Nessus 插件 ID 234235

简介

远程主机上运行的基于 Web 的应用程序受到多个漏洞的影响。

描述

远程 Windows 主机上安装的 Adobe ColdFusion 为低于 2021.x update 19、2023.x update 13 或 2025.x update 1 的版本。因此,该主机受到 APSB25-15 公告中提及的多个漏洞影响。

- 不当身份验证 (CWE-287),可能导致任意代码执行攻击(CVE-2025-30282、CVE-2025-30287)

- 不可信数据反序列化 (CWE-502),可能导致攻击者执行任意代码(CVE-2025-24447、CVE-2025-30284、CVE-2025-30285)

- 不当输入验证 (CWE-20),可能导致任意文件系统读取攻击 (CVE-2025-24446)

- 不当访问控制 (CWE-284),可能导致任意文件系统读取 (CVE-2025-30281)

- OS 指令(OS 指令注入)(CWE-78) 中使用的特殊元素存在不当中和漏洞,可能导致任意代码执行攻击(CVE-2025-30286、CVE-2025-30289)

请注意,Nessus 尚未测试这些问题,而是只依据应用程序自我报告的版本号进行判断。

解决方案

升级到 Adobe ColdFusion 2021 update 19 / 2023 update 13 / 2025 update 1 或更高版本。

另见

https://helpx.adobe.com/security/products/coldfusion/apsb25-15.html

插件详情

严重性: Critical

ID: 234235

文件名: coldfusion_win_apsb25-15.nasl

版本: 1.2

类型: local

代理: windows

系列: Windows

发布时间: 2025/4/11

最近更新时间: 2025/5/16

支持的传感器: Nessus Agent, Nessus

风险信息

VPR

风险因素: High

分数: 7.3

CVSS v2

风险因素: High

基本分数: 9.4

时间分数: 7

矢量: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:N

CVSS 分数来源: CVE-2025-24447

CVSS v3

风险因素: Critical

基本分数: 9.1

时间分数: 7.9

矢量: CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H

时间矢量: CVSS:3.0/E:U/RL:O/RC:C

CVSS 分数来源: CVE-2025-30282

漏洞信息

CPE: cpe:/a:adobe:coldfusion

必需的 KB 项: SMB/coldfusion/instance

易利用性: No known exploits are available

补丁发布日期: 2025/4/8

漏洞发布日期: 2025/4/8

参考资料信息

CVE: CVE-2025-24446, CVE-2025-24447, CVE-2025-30281, CVE-2025-30282, CVE-2025-30284, CVE-2025-30285, CVE-2025-30286, CVE-2025-30287, CVE-2025-30288, CVE-2025-30289, CVE-2025-30290, CVE-2025-30291, CVE-2025-30292, CVE-2025-30293, CVE-2025-30294

CWE: 20, 200, 22, 284, 287, 502, 78, 79

IAVA: 2025-A-0231-S