Компания Adobe выпустила пакет обновлений для платформы ColdFusion версий 2023 и 2025. Исправления закрывают семь уязвимостей, из которых шесть имеют статус критических, одна отнесена к важным. Затронуты все поддерживаемые операционные системы. Администраторам настоятельно рекомендуется установить обновления незамедлительно.
Детали уязвимостей
Проблемы затрагивают ColdFusion 2023 (обновление 19 и более ранние версии) и ColdFusion 2025 (обновление 8 и более ранние версии). После установки патчей версии обновляются до Update 20 и Update 9 соответственно. В бюллетене безопасности APSB26-64 перечислены следующие идентификаторы уязвимостей (CVE - уникальные номера, присваиваемые конкретным проблемам): CVE-2026-47928, CVE-2026-47929, CVE-2026-47930, CVE-2026-47931, CVE-2026-47932, CVE-2026-47933 и CVE-2026-47960. Оценки по шкале CVSS (Common Vulnerability Scoring System - стандарт для оценки серьезности) варьируются от 4,8 до 9,6 баллов.
Наиболее опасная уязвимость - CVE-2026-47928 с оценкой 9,6. Она вызвана некорректной проверкой входных данных (CWE-20). Эксплуатация позволяет злоумышленнику без аутентификации и без взаимодействия с пользователем удаленно выполнить произвольный код на сервере ColdFusion. Для атаки требуется доступ к сети (вектор AV:A - adjacent network), но не требуется никаких привилегий. Потенциальный ущерб - полная компрометация сервера: утечка данных, перехват управления, использование взломанной системы в качестве точки входа в корпоративную инфраструктуру.
Уязвимость CVE-2026-47932 (оценка 8,8) относится к категории path traversal (обход ограничений файловой системы, CWE-22). Чтобы ее использовать, атакующий должен убедить жертву открыть вредоносный файл. После этого злоумышленник получает возможность читать и записывать файлы за пределами разрешенной директории. В сочетании с другими уязвимостями это может привести к выполнению кода.
Две критические проблемы связаны с некорректной авторизацией и проверкой входных данных (CVE-2026-47929 и CVE-2026-47931, оценки 8,4). Первая (CWE-863) дает возможность аутентифицированному пользователю с высокими привилегиями выполнить произвольный код на удаленном сервере и затем повысить свои права (privilege escalation). Вторая (CWE-20) позволяет такому же атакующему удаленно исполнить код без взаимодействия с жертвой. Обе уязвимости требуют предварительного получения учетной записи администратора, однако их эксплуатация может быть реализована в цепочке после менее защищенных векторов.
Уязвимость CVE-2026-47930 (оценка 8,1) также основана на некорректной проверке входных данных. Ее особенность: атакующему достаточно иметь низкие привилегии, при этом вектор атаки сетевой (AV:N - network), пользователь не требуется. Это упрощает автоматизированную эксплуатацию. Результат - произвольное выполнение кода с возможностью записи и чтения данных.
CVE-2026-47960 (оценка 7,4) - проблема с некорректным ограничением ссылок на внешние XML-сущности (XXE, CWE-611). Атакующий может отправить на сервер специально сформированный XML-документ, что приведет к чтению произвольных файлов из файловой системы. Вектор атаки сетевой, но требуется взаимодействие пользователя (например, открытие документа). Уязвимость может быть использована для кражи конфигурационных файлов, ключей доступа и других чувствительных данных.
Наименее опасная уязвимость - CVE-2026-47933 (оценка 4,8). Это хранимая межсайтовая уязвимость (stored XSS, CWE-79). Атакующий с низкими привилегиями может внедрить вредоносный JavaScript-код в поля форм. При просмотре страницы другими пользователями (в том числе администраторами) этот код выполняется в их браузере. Технически это позволяет угнать сеансы, похитить cookie или изменить поведение интерфейса. Однако для эксплуатации требуется, чтобы жертва открыла скомпрометированную страницу и взаимодействовала с ней.
Компания Adobe благодарит исследователей, обнаруживших уязвимости: AnirudhAnand (a0xnirudh), Sneharghya (sneharghyaroy), Nbxiglk и Sapra. По состоянию на дату выпуска бюллетеня уязвимости не эксплуатировались в реальных атаках. Тем не менее высокая оценка критичности и широкое распространение платформы ColdFusion (применяется для разработки веб-приложений, интеграции с базами данных, создания порталов) делают эти обновления обязательными к установке.
Администраторам необходимо как можно скорее провести обновление до версий Update 9 (для ColdFusion 2025) и Update 20 (для ColdFusion 2023). Adobe также рекомендует обновить драйвер JDBC (Java Database Connectivity) для MySQL до последней версии и настроить файл сериализационного фильтра для защиты от атак на небезопасную десериализацию. Соответствующие инструкции приведены в технических примечаниях производителя.
Организации, которые откладывают установку обновлений, рискуют столкнуться с удаленным выполнением кода, утечкой конфиденциальных данных и полной компрометацией серверов приложений. Учитывая, что часть уязвимостей не требует аутентификации или высокой привилегии, злоумышленники могут атаковать незащищенные системы автоматизированными средствами без участия администратора. Для критически важных веб-приложений на ColdFusion промедление с установкой патчей недопустимо.
Ссылки
