Platform
java
Component
coldfusion
Opgelost in
2021.19.1
CVE-2025-54234 beschrijft een Server-Side Request Forgery (SSRF) kwetsbaarheid in Adobe ColdFusion. Deze kwetsbaarheid kan een geauthenticeerde aanvaller in staat stellen om het applicatieproces te dwingen om willekeurige verzoeken te doen via het injecteren van URL's, wat resulteert in beperkte leesrechten op het bestandssysteem. De kwetsbaarheid treft ColdFusion versies 0 tot en met 2021.19. Een fix is beschikbaar in versie 2025.1.
Een succesvolle exploitatie van deze SSRF-kwetsbaarheid stelt een geauthenticeerde aanvaller in staat om het applicatieproces van ColdFusion te misbruiken om verzoeken te sturen naar interne bronnen die normaal gesproken niet toegankelijk zijn vanaf het internet. Dit kan resulteren in het lezen van gevoelige bestanden op het bestandssysteem van de server, zoals configuratiebestanden of logbestanden. Hoewel de impact als 'beperkt' wordt beschouwd, kan het misbruik van deze kwetsbaarheid toch leiden tot het blootleggen van gevoelige informatie of het verkrijgen van een voordeel in een grotere aanval. De kwetsbaarheid vereist geen interactie van de gebruiker, wat de exploitatie verder vereenvoudigt.
Op dit moment (2025-08-18) zijn er geen publieke exploitatievoorbeelden (PoC's) bekend voor CVE-2025-54234. De kwetsbaarheid is opgenomen in het CISA KEV-catalogus (KEV status onbekend op moment van schrijven). De CVSS score van 2.7 duidt op een lage waarschijnlijkheid van exploitatie, maar de mogelijkheid tot bestandssysteemtoegang blijft een zorg. Er zijn geen actieve campagnes bekend die deze kwetsbaarheid misbruiken.
Organizations running ColdFusion versions 0 through 2021.19, particularly those with internal applications or services that rely on ColdFusion, are at risk. Environments where ColdFusion is used for processing user-supplied data without proper input validation are especially vulnerable.
• java / server:
ps aux | grep -i coldfusion• java / server:
journalctl -u coldfusion -f | grep -i "Server-Side Request Forgery"• generic web:
curl -I <coldfusion_url>• generic web:
grep -r "Server-Side Request Forgery" /opt/coldfusion/cfusion/wwwroot/includes/ # Adjust path as neededdisclosure
Exploit Status
EPSS
0.05% (15% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2025-54234 is het upgraden van ColdFusion naar versie 2025.1 of hoger, waar de kwetsbaarheid is verholpen. Indien een directe upgrade niet mogelijk is, overweeg dan tijdelijke maatregelen zoals het beperken van de toegang tot interne bronnen via netwerksegmentatie of het implementeren van een Web Application Firewall (WAF) met regels om SSRF-aanvallen te detecteren en te blokkeren. Controleer de ColdFusion configuratie op onnodige URL-toegangsrechten en beperk deze indien mogelijk. Na de upgrade, verifieer de fix door te proberen een interne URL te benaderen via een ColdFusion applicatie en controleer of de toegang wordt geweigerd.
Werk ColdFusion bij naar versie 2025.1, 2023.13 of 2021.19 of hoger. Dit zal de SSRF-kwetsbaarheid verhelpen. Raadpleeg het Adobe beveiligingsbulletin voor meer details en specifieke instructies.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2025-54234 is a Server-Side Request Forgery (SSRF) vulnerability affecting ColdFusion versions 0 through 2021.19, allowing attackers to force the application to make arbitrary requests.
You are affected if you are running ColdFusion versions 0–2021.19. Upgrade to ColdFusion 2025.1 or later to mitigate the risk.
Upgrade to ColdFusion version 2025.1 or later. As a temporary workaround, implement input validation on URLs and configure a WAF to block suspicious requests.
As of the current date, there are no confirmed reports of active exploitation of CVE-2025-54234.
Please refer to the official Adobe Security Bulletin for CVE-2025-54234: [https://www.adobe.com/security/advisories/AdobeSecurityBulletin.txt](https://www.adobe.com/security/advisories/AdobeSecurityBulletin.txt)
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je pom.xml-bestand en we vertellen je direct of je getroffen bent.