Adobe закрыла 11 уязвимостей в ColdFusion, шесть из них с максимальным рейтингом опасности

Adobe ColdFusion

Компания Adobe выпустила внеочередной бюллетень безопасности APSB26-68, в котором сообщила об устранении 11 уязвимостей в серверных платформах ColdFusion 2025 и ColdFusion 2023. Шести из них присвоен максимальный базовый балл по шкале CVSS - 10,0. Бюллетень получил наивысший приоритетный рейтинг Priority 1, который Adobe присваивает уязвимостям, либо уже эксплуатируемым злоумышленниками, либо представляющим критический уровень риска. Вместе с тем в компании заявили, что на момент публикации сведений об атаках с использованием этих проблем в реальных условиях не поступало.

Детали уязвимостей

Наиболее опасными признаны шесть уязвимостей, каждая из которых позволяет удалённому неавторизованному злоумышленнику получить полный контроль над сервером ColdFusion. Речь идёт о выполнении произвольного кода, повышении привилегий, чтении файловой системы и обходе механизмов защиты. Все эти проблемы не требуют аутентификации или взаимодействия с пользователем.

Две из них - CVE-2026-48276 и CVE-2026-48283 - связаны с неограниченной загрузкой файлов опасного типа (CWE-434). Злоумышленник, не имеющий учётных данных, мог отправить на сервер вредоносный файл и затем инициировать его выполнение. Ещё три уязвимости - CVE-2026-48277, CVE-2026-48281 и CVE-2026-48316 - стали следствием некорректной проверки вводимых данных (CWE-20). Каждая из них также открывает путь к удалённому выполнению кода без какой-либо аутентификации. Дополняет список "идеальных" оценок уязвимость CVE-2026-48282 - это обход ограничения пути к каталогу (CWE-22), позволяющий злоумышленнику записать исполняемый файл в произвольную папку на сервере.

Помимо шести уязвимостей с баллом 10,0, в бюллетене перечислены ещё несколько критических проблем, расширяющих поверхность атаки. Уязвимость CVE-2026-48313 (CVSS 9,3), вызванная некорректным ограничением пути, позволяет злоумышленнику читать произвольные файлы из файловой системы сервера. Другая проблема, CVE-2026-48315 (CVSS 9,3), связана с ошибкой проверки вводимых данных и даёт возможность повысить привилегии в системе. Уязвимость CVE-2026-48307 (CVSS 8,6) относится к категории Server-Side Request Forgery (SSRF) - подделке запросов на стороне сервера. При её эксплуатации злоумышленник мог инициировать исходящие сетевые запросы от имени сервера ColdFusion, что ведёт к обходу защитных механизмов. Кроме того, исправлена уязвимость CVE-2026-48315 (CVSS 8,8) - отражённый межсайтовый скриптинг (XSS), который при доступе к серверу из смежной сети позволяет выполнить произвольный код. Ещё один дефект, CVE-2026-48314 (CVSS 6,5), также связанный с обходом пути, даёт возможность повысить привилегии. Его рейтинг помечен как "важный".

Проблемы затрагивают ColdFusion 2025 до версии Update 9 включительно и ColdFusion 2023 до версии Update 20 включительно на всех поддерживаемых платформах. Исправления выпущены в составе ColdFusion 2025 Update 10 и ColdFusion 2023 Update 21, которые уже доступны для загрузки. Adobe настоятельно рекомендует администраторам установить обновления немедленно.

Исследователи безопасности, обнаружившие уязвимости, действовали в рамках программ ответственного раскрытия. Анируд Ананд (известный под псевдонимом a0xnirudh) получил благодарность за сообщение о CVE-2026-48283 и CVE-2026-48313. Матан Сандори (matans1) и команда 2Bsecure были отмечены за выявление CVE-2026-48307 через публичную программу bug bounty Adobe на платформе HackerOne.

Дополнительно Adobe рекомендует администраторам ColdFusion обновить MySQL Java Connector до последней версии и пересмотреть документацию по фильтрации сериализованных объектов, чтобы усилить защиту от атак на небезопасную десериализацию.

ColdFusion широко используется для построения и развёртывания веб-приложений в корпоративной среде. Наличие неаутентифицированных уязвимостей с максимальным баллом CVSS делает серверы на этой платформе крайне привлекательной целью для злоумышленников. Организациям, чьи экземпляры ColdFusion доступны из интернета, следует рассматривать данный патч как приоритетный и установить обновление без промедления - в противном случае сервер может быть полностью скомпрометирован.

Ссылки

Комментарии: 0