Adobe ColdFusion 2025 보안 업데이트: 다수의 치명적 취약점 패치

Adobe Patches 11 Critical ColdFusion Flaws Amid 30 Total Vulnerabilities Discovered

 

• 개요
  • Adobe는 ColdFusion 2025, 2023, 2021 버전에서 발견된 총 30건의 보안 취약점에 대한 보안 업데이트를 발표함
  • 이 중 11건은 심각도(CVSS) 기준 ‘Critical’ 등급으로, 파일 시스템 읽기 및 임의 코드 실행이 가능한 위험한 수준의 취약점 포함
• 주요 취약점 분석
  • CVE-2025-24446 (CVSS 9.1)
    • 부적절한 입력값 검증으로 인한 임의 파일 시스템 읽기(File Read)
  • CVE-2025-24447 (CVSS 9.1)
    • 신뢰되지 않은 데이터의 역직렬화(Deserialization)로 인한 임의 코드 실행
  • CVE-2025-30281 (CVSS 9.1)
    • 접근 제어 미흡으로 인한 임의 파일 시스템 읽기
  • CVE-2025-30282 (CVSS 9.1)
    • 인증 절차 미흡으로 인한 임의 코드 실행
  • CVE-2025-30286 (CVSS 8.0)
    • 운영체제 명령어 주입(Command Injection)에 따른 임의 코드 실행
  • CVE-2025-30290 (CVSS 8.7)
    • 경로 탐색(Path Traversal) 취약점으로 인한 보안 기능 우회(Security Feature Bypass)
• 취약점 영향
  • 공격자는 취약점을 악용하여 서버 내 민감 파일 접근, 관리자 권한 상승, 임의 명령 실행, 보안 우회 가능
  • 특히 ColdFusion 기반 웹서비스 및 백엔드 API 서버가 공격 표적이 될 수 있음
• 패치 적용 버전
  • ColdFusion 2025: Update 1
  • ColdFusion 2023: Update 13
  • ColdFusion 2021: Update 19
• 기타 Adobe 제품 취약점 포함 항목
  • Adobe After Effects, Media Encoder, Premiere Pro, Photoshop, Animate 등에서 Out-of-Bounds Write 및 Heap-based Buffer Overflow 기반 임의 코드 실행 취약점 다수 수정
  • 해당 제품군도 최신 버전으로 업데이트 필요
• Adobe 권고
  • 현재까지는 실제 악용 사례는 보고되지 않음
  • 하지만 위협 행위자가 제로데이(0-day)로 전환하여 공격할 수 있는 가능성 존재
  • 사용자는 즉시 보안 패치 적용 및 웹 애플리케이션 방화벽(WAF), 정기적 취약점 스캐닝, 권한 최소화 등의 보안 강화 필요
• 결론
  • ColdFusion은 웹 애플리케이션 백엔드 시스템에서 널리 사용되며, 본 취약점들은 심각한 보안 침해로 직결될 수 있음
  • 특히 Deserialization, Command Injection, Path Traversal과 같은 고위험군 공격 벡터는 자동화된 공격 도구에 이용되기 쉬움
  • 조직은 긴급 패치 적용 외에도 코드 리뷰 및 시스템 로그 모니터링을 강화하여 유사 공격에 선제적으로 대응해야 함