AdobeAdobe به‌روزرسانی‌های امنیتی را برای رفع مجموعه جدیدی از نقص‌های امنیتی منتشر کرده است[۱]، ازجمله چندین باگ با شدت بحرانی در نسخه‌های ColdFusion 2025، ۲۰۲۳ و ۲۰۲۱ که می‌تواند منجر به خواندن و اجرای کد دلخواه فایل شود.

از ۳۰ نقص موجود در محصول، ۱۱ مورد ازنظر شدت بحرانی رتبه‌بندی شده‌اند:

  • CVE-2025-24446 (امتیاز ۹٫۱ در CVSS) – یک آسیب‌پذیری اعتبارسنجی ورودی نامناسب که می‌تواند منجر به خواندن سیستم فایل دلخواه شود
  • CVE-2025-24447 (امتیاز ۹٫۱ در CVSS) – یک deserialization از آسیب‌پذیری داده‌های نامعتبر که می‌تواند منجر به اجرای کد دلخواه شود
  • CVE-2025-30281 (امتیاز ۹٫۱ در CVSS) – یک آسیب‌پذیری کنترل دسترسی نامناسب که می‌تواند منجر به خواندن سیستم فایل دلخواه شود
  • CVE-2025-30282 (امتیاز ۹٫۱ در CVSS) – یک آسیب‌پذیری احراز هویت نامناسب که می‌تواند منجر به اجرای کد دلخواه شود
  • CVE-2025-30284 (امتیاز ۸٫۰ در CVSS) – یک deserialization از آسیب‌پذیری داده‌های نامعتبر که می‌تواند منجر به اجرای کد دلخواه شود
  • CVE-2025-30285 (ا امتیاز ۸٫۰ در CVSS) – یک deserialization از آسیب‌پذیری داده‌های نامعتبر که می‌تواند منجر به اجرای کد دلخواه شود
  • CVE-2025-30286 (امتیاز ۸٫۰ در CVSS) – آسیب‌پذیری تزریق فرمان سیستم‌عامل که می‌تواند منجر به اجرای کد دلخواه شود
  • CVE-2025-30287 (امتیاز ۸٫۱ در CVSS) – یک آسیب‌پذیری احراز هویت نامناسب که می‌تواند منجر به اجرای کد دلخواه شود
  • CVE-2025-30288 (امتیاز ۷٫۸ در CVSS) – یک آسیب‌پذیری کنترل دسترسی نامناسب که می‌تواند منجر به دور زدن ویژگی امنیتی شود.
  • CVE-2025-30289 (امتیاز ۷٫۵ در CVSS) – آسیب‌پذیری تزریق فرمان سیستم‌عامل که می‌تواند منجر به اجرای کد دلخواه شود
  • CVE-2025-30290 (امتیاز ۸٫۷ در CVSS) – یک آسیب‌پذیری پیمایش مسیر که می‌تواند منجر به دور زدن ویژگی امنیتی شود.

Adobe در گزارشی گفت[۲]: “این به‌روزرسانی‌ها آسیب‌پذیری‌های مهم و حیاتی را که می‌تواند منجر به خواندن خودسرانه فایل سیستم، اجرای کد دلخواه و دور زدن ویژگی امنیتی شود را برطرف می‌کند.”

آسیب‌پذیری‌ها در نسخه‌های زیر برطرف شده است:

  • ColdFusion 2021 به‌روزرسانی ۱۹
  • ColdFusion 2023 به‌روزرسانی ۱۳
  • ColdFusion 2025 به‌روزرسانی ۱

همچنین برای رفع اشکالات سرریز بافر مبتنی بر پشته و نوشتن خارج از محدوده در آسیب‌پذیری‌های زیر که می‌تواند منجر به کدهای execution دلخواه شوند، وصله منتشر شده است:

  • After Effects[3]: CVE-2025-27182 & CVE-2025-27183
  • Media Encoder[4]: CVE-2025-27194 & CVE-2025-27195
  • Bridge[5]: CVE-2025-27193
  • Premiere Pro[6]: CVE-2025-27196
  • Photoshop[7]: CVE-2025-27198
  • Animate[8]: CVE-2025-27199
  • FrameMaker[9]: CVE-2025-30304, CVE-2025-30297 & CVE-2025-30295

Adobe همچنین خاطرنشان کرد که از هیچ‌گونه بهره‌برداری برای هیچ‌یک از نقص‌های ذکرشده آگاه نیست. بااین‌حال، ضروری است که کاربران برای محافظت در برابر تهدیدات احتمالی، نصب‌های خود را به آخرین نسخه به‌روزرسانی کنند.

  منابع

[۱] https://helpx.adobe.com/security.html

[۲] https://helpx.adobe.com/security/products/coldfusion/apsb25-15.html

[۳] https://helpx.adobe.com/security/products/after_effects/apsb25-23.html

[۴] https://helpx.adobe.com/security/products/media-encoder/apsb25-24.html

[۵] https://helpx.adobe.com/security/products/bridge/apsb25-25.html

[۶] https://helpx.adobe.com/security/products/premiere_pro/apsb25-28.html

[۷] https://helpx.adobe.com/security/products/photoshop/apsb25-30.html

[۸] https://helpx.adobe.com/security/products/animate/apsb25-31.html

[۹] https://helpx.adobe.com/security/products/framemaker/apsb25-33.html

[۱۰] https://www.emsisoft.com/ransomware-decryption-tools/free-download