Adobe heeft updates uitgebracht voor kritieke kwetsbaarheden in ColdFusion en adviseert die binnen 72 uur te installeren. Het softwarebedrijf heeft het installeren van de patches de hoogste prioriteit gegeven, omdat ColdFusion geregeld het doelwit van aanvallen is geweest. ColdFusion is een platform voor het ontwikkelen van webapplicaties. Vijf kritieke kwetsbaarheden in de software maken het mogelijk voor een aanvaller om bestanden te lezen, beveiligingsmaatregelen te omzeilen en rechten te verhogen.

De gevaarlijkste kwetsbaarheid is CVE-2025-49535, door Adobe omschreven als 'Improper Restriction of XML External Entity Reference'. Een aanvaller kan via dit lek willekeurige bestanden op het file system lezen en zo toegang tot gevoelige informatie krijgen waarmee verdere aanvallen zijn uit te voeren. De impact van het lek is op een schaal van 1 tot en met 10 beoordeeld met een 9.3. Adobe heeft ColdFusion 2025 Update 3, ColdFusion 2023 Update 15 en ColdFusion 2021 Update 21 uitgebracht om de problemen te verhelpen.

Om aan te geven dat het om belangrijke updates gaat werkt Adobe met een prioritering. De ColdFusion-updates hebben de hoogste prioriteit gekregen. Dit houdt in dat updates volgens het softwarebedrijf "zo snel mogelijk" moeten worden geïnstalleerd, waarbij als voorbeeld binnen 72 uur wordt gegeven. "ColdFusion moet op dit punt waarschijnlijk als "legacy" worden beschouwd. Als je er nog steeds gebruik van maakt zou je moeten overwegen om naar iets moderner te migreren", zegt Dustin Childs van het Zero Day Initiative.