Специалисты по кибербезопасности предупреждают о новой критической уязвимости в интерпретаторе веб-приложений Adobe ColdFusion. Проблема, зарегистрированная в Банке данных угроз (BDU) под идентификатором BDU:2026-05602 и получившая идентификатор CVE-2026-27304, связана с недостаточной проверкой входных данных. Эксплуатация этой уязвимости позволяет злоумышленнику, действующему удалённо, выполнить произвольный код на атакуемом сервере. Для успешной атаки нарушителю достаточно загрузить специально сконструированный вредоносный файл, что потенциально ведёт к полному компрометированию системы в контексте текущего пользователя.
Детали уязвимости
Уязвимость затрагивает все версии ColdFusion 2023 вплоть до 2023.18 включительно, а также версии ColdFusion 2025 вплоть до 2025.6. Таким образом, под угрозой находится широкий спектр прикладного программного обеспечения информационных систем, использующего данный популярный коммерческий интерпретатор. Производитель, компания Adobe Systems Inc., уже подтвердил наличие уязвимости и выпустил официальные патчи для её устранения. Соответственно, текущий статус уязвимости классифицируется как «устранённая», однако множество систем по всему миру могут оставаться незащищёнными из-за задержек в процессе обновления.
С технической точки зрения, ошибка относится к классу уязвимостей кода, а её тип классифицируется по каталогу CWE как CWE-20 - недостаточная проверка вводимых данных. Подобные уязвимости возникают, когда приложение принимает входные данные от клиента или из внешнего источника, но не проводит их должной валидации, фильтрации или санитизации перед использованием. В контексте ColdFusion это привело к возможности загрузки и выполнения произвольного кода.
Оценка опасности уязвимости демонстрирует её высокую критичность. Согласно методологии CVSS версии 2.0, базовая оценка составляет 7.8, что соответствует высокому уровню опасности. Однако более современная оценка по CVSS 3.1 подчёркивает ещё более серьёзную угрозу, присваивая уязвимости критический балл 9.3. Вектор атаки (AV:A) указывает на возможность эксплуатации через смежную сеть, например, из сегмента Wi-Fi или через VPN. Важно отметить, что для успешной атаки не требуются привилегии (PR:N) или взаимодействие с пользователем (UI:N), а её последствия затрагивают конфиденциальность (C:H) и целостность (I:H) данных на критическом уровне.
Основной и единственной рекомендованной мерой по устранению данной угрозы является немедленное обновление программного обеспечения. Adobe настоятельно рекомендует администраторам обновить ColdFusion 2023 до версии 2023.19, а ColdFusion 2025 - до версии 2025.7 или выше. Все необходимые патчи и детальные инструкции по установке опубликованы в официальном бюллетене безопасности компании APSB26-38. Оставлять системы на уязвимых версиях крайне рискованно, особенно с учётом того, что уязвимость связана с удалённым выполнением кода (RCE).
Хотя на момент публикации бюллетеня наличие активных эксплойтов уточняется, история подобных уязвимостей в популярных платформах показывает, что злоумышленники, включая группы APT, быстро разрабатывают и используют такие возможности. В частности, уязвимости в ColdFusion неоднократно становились векторами начального доступа для последующего развёртывания вредоносного ПО, такого как программы-вымогатели (ransomware), или для установки инструментов для обеспечения постоянного присутствия (persistence) в корпоративной сети.
Способ эксплуатации классифицируется как «манипулирование ресурсами». На практике это означает, что атакующий может загрузить на сервер специальный файл, содержащий вредоносную нагрузку (malicious payload). Из-за недостаточной валидации интерпретатор ColdFusion обрабатывает этот файл как исполняемый код, что и приводит к компрометации. После получения контроля над сервером злоумышленники могут двигаться по сети, красть данные или дестабилизировать работу приложений.
Для организаций, использующих уязвимые версии ColdFusion, критически важно ускорить процессы управления исправлениями (patch management). Кроме того, в качестве временных мер или дополнительных слоёв защиты рекомендуется усилить мониторинг сетевой активности, особенно связанной с конечными точками ColdFusion, используя системы обнаружения и предотвращения вторжений (IDS/IPS). Также целесообразно регулярно проводить аудит журналов приложений и веб-серверов на предмет подозрительных попыток загрузки файлов. В целом, данный случай служит очередным напоминанием о важности своевременного применения обновлений безопасности для всех компонентов инфраструктуры, особенно для публично доступных веб-приложений.
Ссылки
- https://bdu.fstec.ru/vul/2026-05602
- https://www.cve.org/CVERecord?id=CVE-2026-27304
- https://helpx.adobe.com/security/products/coldfusion/apsb26-38.html
