עדכון אבטחה קריטי ל-Adobe ColdFusion (APSB25-15)
ב-9 באפריל 2025, פרסמה Adobe עדכון אבטחה רחב היקף עבור פלטפורמת ColdFusion, אחת המערכות הנפוצות לפיתוח יישומי אינטרנט, אשר נמצאת בשימוש רחב בארגונים פיננסיים, מוסדות חינוך, חברות טכנולוגיה וגופים ממשלתיים. העדכון, המסומן כ-APSB25-15, מטפל ב-11 פגיעויות, חלקן קריטיות, שכוללות אפשרות להרצת קוד מרחוק (RCE), קריאת קבצים שרירותית, עקיפת מנגנוני אימות ועוד.
פירוט הפגיעויות המרכזיות:
- CVE-2025-2101: מאפשרת הרצת קוד מרחוק ללא אימות.
- CVE-2025-2103: חשיפת קבצים פנימיים עקב טיפול שגוי בנתיבי קבצים.
- CVE-2025-2107: עקיפת מנגנוני אימות והתחברות ללא הרשאות.
גרסאות מושפעות:
- ColdFusion 2023 Update 8 ומטה
- ColdFusion 2021 Update 14 ומטה
- ColdFusion 2018 – גרסה שאינה נתמכת עוד אך חשופה במיוחד
השלכות אפשריות:
- פריצה לשרתים – דרך פגיעויות RCE התוקף יכול להשתלט על שרתים ארגוניים.
- דליפת מידע רגיש – כולל קבצי קונפיגורציה, מפתחות API ונתוני משתמשים.
- חדירה לרשת הפנימית – באמצעות קוד שנטען לתוך סביבת ColdFusion.
המלצות להתמודדות:
- עדכנו את גרסאות ColdFusion לגרסאות האחרונות ביותר לפי הוראות Adobe.
- בצעו בדיקה מקדימה בסביבת staging לפני הטמעה בסביבת production.
- הפיצו התרעה למנהלי השרתים וצוותי DevOps.
- שלבו ניתוח תקופתי של פגיעויות בסביבת ColdFusion כחלק מתהליך ה-SDLC.
