Adobe近日發(fā)布安全更新，修復(fù)了包括ColdFusion 2025、2023和2021版本中多個高危漏洞在內(nèi)的一系列安全問題，這些漏洞可能導(dǎo)致任意文件讀取和代碼執(zhí)行。

高危漏洞詳情

在本次修復(fù)的30個漏洞中，11個被評定為高危級別：

• CVE-2025-24446（CVSS評分：9.1）- 輸入驗證不當(dāng)漏洞，可導(dǎo)致任意文件系統(tǒng)讀取
• CVE-2025-24447（CVSS評分：9.1）- 不可信數(shù)據(jù)反序列化漏洞，可導(dǎo)致任意代碼執(zhí)行
• CVE-2025-30281（CVSS評分：9.1）- 訪問控制不當(dāng)漏洞，可導(dǎo)致任意文件系統(tǒng)讀取
• CVE-2025-30282（CVSS評分：9.1）- 身份驗證不當(dāng)漏洞，可導(dǎo)致任意代碼執(zhí)行
• CVE-2025-30284（CVSS評分：8.0）- 不可信數(shù)據(jù)反序列化漏洞，可導(dǎo)致任意代碼執(zhí)行
• CVE-2025-30285（CVSS評分：8.0）- 不可信數(shù)據(jù)反序列化漏洞，可導(dǎo)致任意代碼執(zhí)行
• CVE-2025-30286（CVSS評分：8.0）- 操作系統(tǒng)命令注入漏洞，可導(dǎo)致任意代碼執(zhí)行
• CVE-2025-30287（CVSS評分：8.1）- 身份驗證不當(dāng)漏洞，可導(dǎo)致任意代碼執(zhí)行
• CVE-2025-30288（CVSS評分：7.8）- 訪問控制不當(dāng)漏洞，可導(dǎo)致安全功能繞過
• CVE-2025-30289（CVSS評分：7.5）- 操作系統(tǒng)命令注入漏洞，可導(dǎo)致任意代碼執(zhí)行
• CVE-2025-30290（CVSS評分：8.7）- 路徑遍歷漏洞，可導(dǎo)致安全功能繞過

Adobe在安全公告中表示："這些更新解決了可能導(dǎo)致任意文件系統(tǒng)讀取、任意代碼執(zhí)行和安全功能繞過的關(guān)鍵和重要漏洞。"

受影響版本及修復(fù)方案

漏洞已在以下版本中得到修復(fù)：

• ColdFusion 2021 Update 19
• ColdFusion 2023 Update 13
• ColdFusion 2025 Update 1

其他產(chǎn)品安全更新

Adobe還發(fā)布了針對多款產(chǎn)品的修復(fù)補丁，包括：

• After Effects（CVE-2025-27182、CVE-2025-27183）：修復(fù)越界寫入和基于堆的緩沖區(qū)溢出漏洞
• Media Encoder（CVE-2025-27194、CVE-2025-27195）：修復(fù)越界寫入漏洞
• Bridge（CVE-2025-27193）：修復(fù)越界寫入漏洞
• Premiere Pro（CVE-2025-27196）：修復(fù)越界寫入漏洞
• Photoshop（CVE-2025-27198）：修復(fù)越界寫入漏洞
• Animate（CVE-2025-27199）：修復(fù)越界寫入漏洞
• FrameMaker（CVE-2025-30304、CVE-2025-30297、CVE-2025-30295）：修復(fù)多個可能導(dǎo)致任意代碼執(zhí)行的漏洞

Adobe表示目前尚未發(fā)現(xiàn)這些漏洞被利用的情況，但仍建議用戶盡快更新至最新版本以防范潛在威脅。