A Adobe lançou atualizações de segurança para corrigir um novo conjunto de vulnerabilidades de segurança, incluindo múltiplas falhas de gravidade crítica nas versões do ColdFusion 2025, 2023 e 2021 que poderiam resultar em leitura arbitrária de arquivos e execução de código.
Das 30 falhas no produto, 11 são classificadas como Críticas em gravidade:
-
CVE-2025-24446
(pontuação CVSS: 9.1) - Uma vulnerabilidade de validação de entrada inadequada que poderia resultar em uma leitura arbitrária do sistema de arquivos;
-
CVE-2025-24447
(pontuação CVSS: 9.1) - Uma vulnerabilidade de desserialização de dados não confiáveis que poderia resultar em execução arbitrária de código;
-
CVE-2025-30281
(pontuação CVSS: 9.1) - Uma vulnerabilidade de controle de acesso inadequado que poderia resultar em uma leitura arbitrária do sistema de arquivos;
-
CVE-2025-30282
(pontuação CVSS: 9.1) - Uma vulnerabilidade de autenticação inadequada que poderia resultar em execução arbitrária de código;
-
CVE-2025-30284
(pontuação CVSS: 8.0) - Uma vulnerabilidade de desserialização de dados não confiáveis que poderia resultar em execução arbitrária de código;
-
CVE-2025-30285
(pontuação CVSS: 8.0) - Uma vulnerabilidade de desserialização de dados não confiáveis que poderia resultar em execução arbitrária de código;
-
CVE-2025-30286
(pontuação CVSS: 8.0) - Uma vulnerabilidade de injeção de comando do sistema operacional que poderia resultar em execução arbitrária de código;
-
CVE-2025-30287
(pontuação CVSS: 8.1) - Uma vulnerabilidade de autenticação inadequada que poderia resultar em execução arbitrária de código;
-
CVE-2025-30288
(pontuação CVSS: 7.8) - Uma vulnerabilidade de controle de acesso inadequado que poderia resultar na elisão de uma funcionalidade de segurança;
-
CVE-2025-30289
(pontuação CVSS: 7.5) - Uma vulnerabilidade de injeção de comando do sistema operacional que poderia resultar em execução arbitrária de código;
-
CVE-2025-30290
(pontuação CVSS: 8.7) - Uma vulnerabilidade de travessia de caminho que poderia resultar na elisão de uma funcionalidade de segurança.
"Essas atualizações resolvem vulnerabilidades críticas e importantes que poderiam levar à leitura arbitrária do sistema de arquivos, execução arbitrária de código e elisão de funcionalidades de segurança", disse a Adobe em um comunicado.
As vulnerabilidades foram resolvidas nas seguintes versões:
- ColdFusion 2021 Update 19
- ColdFusion 2023 Update 13 e
- ColdFusion 2025 Update 1
Atualizações também foram lançadas para abordar vários bugs de escrita fora dos limites e estouro de buffer baseado em heap no After Effects (
CVE-2025-27182
,
CVE-2025-27183
), Media Encoder (
CVE-2025-27194
,
CVE-2025-27195
), Bridge (
CVE-2025-27193
), Premiere Pro (
CVE-2025-27196
), Photoshop (
CVE-2025-27198
), Animate (
CVE-2025-27199
) e FrameMaker (
CVE-2025-30304
,
CVE-2025-30297
,
CVE-2025-30295
) que poderiam levar à execução arbitrária de código.
A Adobe também observou que não está ciente de quaisquer explorações para quaisquer das falhas mencionadas.
Dito isso, é essencial que os usuários atualizem suas instalações para a versão mais recente para proteger contra ameaças potenciais.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...