Компания Adobe выпустила внеплановые обновления безопасности для Adobe Acrobat, Acrobat Reader и платформы ColdFusion. Уязвимости охватывают спектр угроз от удалённого выполнения произвольного кода до обхода политик безопасности и утечки конфиденциальных данных. Вендор не зафиксировал случаев эксплуатации этих уязвимостей в реальных атаках, однако их критичность вынуждает организации немедленно установить патчи.
Обновления затронули два ключевых семейства продуктов. Для Acrobat и Reader (версии Continuous и Classic 2024) выпущены сборки 26.001.21662 и 24.001.30383 для Windows и macOS. В ColdFusion исправлены версии 2023 (Update 20) и 2025 (Update 9) на всех поддерживаемых платформах. Всего в бюллетенях перечислено более тридцати идентификаторов CVE - от CVE‑2026‑47911 до CVE‑2026‑47961. Большинство из них получили оценку CVSS 7.8 (критический уровень) для продуктов Acrobat и до 9.6 для ColdFusion.
Анализ характера уязвимостей
В семействе Acrobat и Reader преобладают проблемы класса "использование после освобождения" (Use After Free) и переполнение буфера (как стековый, так и кучи). Такие уязвимости позволяют злоумышленнику, убедив пользователя открыть специально подготовленный PDF-файл, выполнить произвольный код в контексте приложения. Для их эксплуатации требуется локальный доступ и взаимодействие с пользователем, что несколько ограничивает вектор атаки. Однако в корпоративной среде, где документы PDF являются стандартом делопроизводства, фишинговая рассылка вредоносных вложений остаётся высокоэффективным методом.
Отдельно выделены две уязвимости в Acrobat с рейтингом Important: выход за границы чтения (Out‑of‑bounds Read) и целочисленное переполнение, которые могут привести к отказу в обслуживании или раскрытию содержимого памяти. В сценарии атаки через эти уязвимости атакующий может получить конфиденциальные данные, хранящиеся в адресном пространстве процесса.
Гораздо более серьёзная ситуация складывается с платформой ColdFusion. Здесь обнаружены уязвимости, которые позволяют выполнить код удалённо без аутентификации. Ключевая из них - CVE‑2026‑47928 (некорректная проверка входных данных, CVSS 9.6). Она доступна для эксплуатации из соседней сети (вектор AV:A) и не требует никаких привилегий. Ещё одна критическая проблема - обход ограничения пути к каталогу (Path Traversal) CVE‑2026‑47932, оценённая в 8.8 балла. В комбинации с уязвимостью повышения привилегий CVE‑2026‑47929 (некорректная авторизация) атакующий может получить полный контроль над сервером.
Кроме того, в ColdFusion исправлена уязвимость внешней сущности XML (XXE) CVE‑2026‑47960, позволяющая читать произвольные файлы из файловой системы сервера. Учитывая, что ColdFusion часто используется для построения веб-приложений и интеграционных решений, эксплуатация этих уязвимостей может привести к компрометации всей серверной инфраструктуры.
Цитата производителя и исследователей
Adobe подтвердила, что все перечисленные проблемы были обнаружены внешними исследователями безопасности в рамках программ Bug Bounty через HackerOne и инициативу TrendAI Zero Day Initiative. В числе получивших благодарность - участники команд Palo Alto Networks, а также независимые эксперты Seiji Sakurai, Mark Vincent Yason, Tao Yan и другие. В своём бюллетене APSB26‑63 компания заявляет: "Adobe не известно о случаях эксплуатации какой-либо из этих уязвимостей в реальной среде". Аналогичная формулировка приведена в бюллетене APSB26‑64 для ColdFusion.
Тем не менее, специалисты ANSSI при классификации рисков указали, что уязвимости в ColdFusion могут привести к "нарушению конфиденциальности данных, обходу политики безопасности, отказу в обслуживании, удалённому выполнению произвольного кода и косвенной инъекции кода (XSS)". Для продуктов Acrobat дополнительно отмечена возможность повышения привилегий.
Текущий статус исправления и рекомендации
Для Acrobat и Reader обновление можно установить автоматически (через встроенную функцию проверки обновлений) или загрузить полный установщик с официального сайта. Весьма важно отметить, что версии Acrobat 2024, предшествующие 24.001.30383, а также все версии Acrobat Reader и Acrobat Continuous ниже 26.001.21662 признаны уязвимыми. Администраторам управляемых сред рекомендуется использовать средства групповой политики (AIP‑GPO), SCCM или Apple Remote Desktop для централизованного развёртывания патчей.
Для ColdFusion приоритет установки максимальный - рейтинг Priority 1. Adobe рекомендует не только установить обновления Update 9 (для версии 2025) и Update 20 (для версии 2023), но и обновить MySQL JDBC-коннектор до последней версии, а также настроить файл сериализационных фильтров в соответствии с новой документацией. Эти дополнительные меры направлены против атак, использующих небезопасную десериализацию.
Организации, которые откладывают применение этих патчей, подвергают себя серьёзному риску. В случае эксплуатации уязвимости CVE‑2026‑47928 в ColdFusion злоумышленник может получить возможность выполнять произвольный код на сервере без какой-либо аутентификации - достаточно лишь сетевого доступа к порту приложения. Для Acrobat атака может быть реализована через вредоносный PDF-документ, что особенно опасно в отделах, работающих с входящей корреспонденцией от внешних контрагентов.
Adobe выпустила необходимые исправления, и задержка с их установкой может привести к компрометации систем. Учитывая отсутствие признаков массовой эксплуатации, у администраторов есть краткосрочное окно для тестирования совместимости обновлений, но промедление более чем на несколько дней неоправданно. Рекомендуется внедрить патчи в ближайшие 48 часов и усилить мониторинг событий безопасности (SIEM) на предмет аномалий, связанных с PDF-документами и серверами ColdFusion.
Ссылки
- https://helpx.adobe.com/security/products/acrobat/apsb26-63.html
- https://helpx.adobe.com/security/products/coldfusion/apsb26-64.html
