Adobe ha lanzado actualizaciones de seguridad para corregir un nuevo conjunto de fallas de seguridad, incluidos múltiples errores de severidad crítica en las versiones de ColdFusion 2025, 2023 y 2021 que podrían dar como resultado una lectura arbitraria de archivos y la ejecución del código.
De los 30 fallas en el producto, 11 tienen una calificación crítica en severidad –
- CVE-2025-24446 (Puntuación CVSS: 9.1): una vulnerabilidad de validación de entrada inadecuada que podría dar lugar a un sistema de archivos arbitrario se lee
- CVE-2025-24447 (Puntuación CVSS: 9.1): una deserialización de la vulnerabilidad de datos no confiable que podría dar lugar a la ejecución del código arbitrario
- CVE-2025-30281 (Puntuación CVSS: 9.1): una vulnerabilidad de control de acceso inadecuado que podría dar lugar a un sistema de archivos arbitrario.
- CVE-2025-30282 (Puntuación CVSS: 9.1): una vulnerabilidad de autenticación inadecuada que podría dar lugar a la ejecución del código arbitrario
- CVE-2025-30284 (Puntuación CVSS: 8.0): una deserialización de la vulnerabilidad de datos no confiable que podría dar lugar a la ejecución del código arbitrario
- CVE-2025-30285 (Puntuación CVSS: 8.0): una deserialización de la vulnerabilidad de datos no confiable que podría dar lugar a la ejecución del código arbitrario
- CVE-2025-30286 (Puntuación CVSS: 8.0): una vulnerabilidad de inyección de comando del sistema operativo que podría dar lugar a la ejecución del código arbitrario
- CVE-2025-30287 (Puntuación CVSS: 8.1): una vulnerabilidad de autenticación inadecuada que podría dar lugar a la ejecución del código arbitrario
- CVE-2025-30288 (Puntuación CVSS: 7.8): una vulnerabilidad inadecuada de control de acceso que podría dar lugar a una característica de seguridad de derivación
- CVE-2025-30289 (Puntuación CVSS: 7.5): una vulnerabilidad de inyección de comando del sistema operativo que podría dar lugar a la ejecución del código arbitrario
- CVE-2025-30290 (Puntuación CVSS: 8.7): una vulnerabilidad de transversal de ruta que podría dar lugar a una característica de seguridad de derivación
«Estas actualizaciones resuelven vulnerabilidades críticas e importantes que podrían conducir a la lectura del sistema de archivos arbitrario, la ejecución del código arbitraria y el derivación de la función de seguridad», dijo Adobe en un aviso.
Las vulnerabilidades se han resuelto en las versiones a continuación –
- Actualización de Coldfusion 2021 19
- Actualización 13 de ColdFusion 2023, y
- Actualización 1 de ColdFusion 2025
Las correcciones también se han lanzado para abordar varios errores de desbordamiento de búfer de escritura fuera de los límites y basados en el montón en efectos posteriores (CVE-2025-27182, CVE-2025-27183), Media Media (CVE-2025-27194, CVE-2025-27195), Bridge (CVE-2025-27193), Premiere Pro (CVE-20252525252525252525252525252525252 Photoshop (CVE-2025-27198), Animate (CVE-2025-27199) y Framemaker (CVE-2025-30304, CVE-2025-30297, CVE-2025-30295) que podría conducir a la ejecución de código arbitraria.
Adobe también señaló que no tiene conocimiento de ninguna hazaña para ninguna de las deficiencias antes mencionadas. Dicho esto, es esencial que los usuarios actualicen sus instalaciones a la última versión para salvaguardar contra posibles amenazas.