Adobe ColdFusion: исправлены критические уязвимости, включая выполнение произвольного кода

Adobe ColdFusion

Adobe выпустила внеочередные обновления для платформы ColdFusion, устраняющие в общей сложности тринадцать уязвимостей. Из них двенадцать получили критический уровень опасности, одна - умеренный. Проблемы затрагивают версии 2025 и 2023, а также более ранние сборки. На момент публикации бюллетеня сведения об активной эксплуатации этих уязвимостей отсутствуют.

Детали уязвимостей

Среди исправленных недостатков - уязвимости, способные привести к произвольному выполнению кода, повышению привилегий, чтению файлов и обходу механизмов безопасности. Самый высокий балл по шкале CVSS v3 (9,9) присвоен проблеме CVE-2026-48318, связанной с некорректным ограничением пути к каталогу. Эта уязвимость позволяет атакующему с минимальными привилегиями выполнить произвольный код на сервере.

Ещё три уязвимости - CVE-2026-48322 (внедрение кода, 9,6 балла), CVE-2026-48284 (некорректная проверка входных данных, 9,6) и CVE-2026-48321 (неправильная авторизация, 9,3) - также позволяют выполнять код или повышать привилегии. При этом для эксплуатации CVE-2026-48284 злоумышленнику не требуется аутентификация, достаточно доступа к сети на уровне канала связи.

Отдельного внимания заслуживает группа уязвимостей, связанных с обходом путей и инъекциями. Проблема CVE-2026-48319 (9,1 балла) эксплуатируется при наличии высоких привилегий, но в случае успеха даёт полный контроль над системой. Уязвимость CVE-2026-48324 (9,1) основана на SQL-инъекции и также требует повышенного уровня доступа, однако её последствия - выполнение произвольного кода с максимальными правами. Обе ошибки возникают из-за недостаточной фильтрации входных данных.

К категории критических отнесены и проблемы с авторизацией. CVE-2026-48327 (9,0 балла) - одна из них: недостаток в проверке прав позволяет атакующему с низкими привилегиями получить доступ к конфиденциальным функциям. Уязвимость CVE-2026-48320 (8,5 балла) представляет собой отражённый межсайтовый скриптинг, который при определённых условиях ведёт к повышению привилегий.

Критический уровень присвоен также двум уязвимостям, связанным с обходом средств защиты. CVE-2026-48328 (7,7 балла) - ошибка проверки входных данных, позволяющая атакующему прочитать конфиденциальные данные. CVE-2026-48332 (7,7 балла) - подделка запросов на стороне сервера (SSRF). Эта уязвимость даёт возможность злоумышленнику, имеющему доступ к серверу, инициировать запросы к внутренним ресурсам, обходя политики сетевого разделения.

Наконец, CVE-2026-48338 (6,8 балла) - ещё один случай некорректного ограничения пути, который позволяет читать произвольные файлы без права на запись. Единственная уязвимость умеренной опасности - CVE-2026-48329 (2,7 балла) - связана с недостаточным истечением сеанса и позволяет при определённых условиях обойти механизмы завершения сессии.

Adobe рекомендует как можно скорее установить доступные обновления. Для ColdFusion 2025 версия 25.10 исправляет все перечисленные проблемы; для ColdFusion 2023 - версия 23.21. Пользователям более ранних релизов также необходимо обновиться до одной из этих версий. В качестве временных мер защиты можно ограничить доступ к серверам ColdFusion только с доверенных IP-адресов и отключить неиспользуемые функции, но полноценную безопасность гарантирует только установка патча.

Хотя сейчас нет подтверждённых случаев атак с использованием этих уязвимостей, совокупность высоких баллов CVSS и разнообразие векторов атаки делают обновление критически важным для любой организации, эксплуатирующей ColdFusion. Особое внимание стоит уделить корпоративным средам, где этот продукт часто используется для построения веб-приложений и интеграций. Промедление с установкой исправлений может привести к компрометации серверов, утечке данных и полной потере контроля над инфраструктурой.

Выпуская столь масштабный набор патчей, Adobe продолжает тенденцию к ужесточению контроля за безопасностью своих серверных продуктов. Однако частота и серьёзность уязвимостей в ColdFusion свидетельствует о том, что управление исправлениями остаётся одним из ключевых элементов защиты для всех, кто использует данную платформу.

Ссылки

  • https://guides.adobe.com/coldfusion/en/docs/install-and-configure-coldfusion/coldfusion-2025-release-update-11.html
  • https://helpx.adobe.com/security/products/coldfusion/apsb26-82.html
Комментарии: 0