Introducció
Adobe ha publicat un butlletí de seguretat que aborda una vulnerabilitat crítica en les dependències del producte que podria permetre l’execució arbitrària de codi. Les versions afectades de ColdFusion inclouen ColdFusion 2025 (Update 5 i anteriors) i ColdFusion 2023 (Update 17 i anteriors) en totes les plataformes.
Anàlisi
CVE-2025-66516: Apache Tika XML External Entity (XXE) / Execució arbitrària de codi
L’actualització de ColdFusion inclou un pedaç per a la vulnerabilitat CVE-2025-66516, una fallada crítica a la biblioteca Apache Tika que s’usa com a dependència dins de ColdFusion. Esta fallada permet la injecció d’entitats externes XML (XXE) que podria explotar-se en processar contingut específicament elaborat, que conduiria a l’execució arbitrària de codi amb les mateixes credencials o context que el procés de ColdFusion. Atés que este component s’invoca internament en manejar uns certs formats d’arxiu (per exemple, XFA dins de PDF), un atacant capaç de subministrar dades malicioses podria aconseguir execució de codi no autoritzat en el servidor afectat.
Recomanacions:
Actualitzar immediatament a les versions corregides de ColdFusion (2025 Update 6 o 2023 Update 18)
Referències: