4月8日Adobe發布資安公告,修補旗下12款產品當中的54項資安漏洞,其中又以應用程式開發平臺ColdFusion最值得留意,因為該公司將其修補的優先順序列為最高(第1級),這樣的情況並不常見。
從漏洞的數量來看,ColdFusion、FrameMaker、After Effects占大宗,分別為15個、10個、7個,但ColdFusion不僅修補的漏洞最多,當中多達11項被列為重大等級,而且,有4項危險程度達到9.1分(滿分10分)。
這些漏洞是:CVE-2025-24446、CVE-2025-24447、CVE-2025-30281、CVE-2025-30282,一旦攻擊者成功利用漏洞,就有機會執行任意程式碼,或是讀取任意的檔案及系統。值得留意的是,利用CVE-2025-30281無須使用者互動,但其他漏洞利用存在必要條件:攻擊者必須引誘使用者開啟惡意檔案才能利用CVE-2025-24446、CVE-2025-24447,若是要利用CVE-2025-30282,則必須脅迫使用者在應用程式進行特定活動。
而對於這些漏洞的型態,CVE-2025-24446為輸入驗證不當弱點,CVE-2025-24447涉及未獲信任資料的反序列化處理,至於CVE-2025-30281、CVE-2025-30282,則為不當存取控制及身分驗證不當的弱點。
