Банк данных угроз безопасности информации (BDU) опубликовал сведения сразу о трёх критических уязвимостях в популярной платформе для веб-разработки ColdFusion от компании Adobe Systems Inc. Речь идёт об идентификаторах BDU:2026-09167, BDU:2026-09169 и BDU:2026-09170. Каждой из них присвоен номер CVE: CVE-2026-48316, CVE-2026-48277 и CVE-2026-48281 соответственно. Все три дефекта объединяет общий признак: они позволяют удалённому нарушителю выполнить произвольный код на сервере без какой-либо аутентификации. Оценка опасности по шкале CVSS 3.1 достигла максимального значения - 10 баллов.
Детали уязвимостей
Согласно записям BDU, уязвимости затрагивают две основные ветки продукта: ColdFusion 2025 до версии Update 10 и ColdFusion 2023 до версии Update 21. Тип ошибки классифицируется как CWE-20 - недостаточная проверка вводимых данных. На практике это означает, что злоумышленник может отправить на сервер специально сформированный запрос, который не фильтруется должным образом. В результате атакующий получает возможность внедрить вредоносные команды и выполнить их в контексте самого приложения. Способ эксплуатации описан как "манипулирование ресурсами", при этом производитель уже подтвердил наличие проблемы и выпустил обновления.
Важно подчеркнуть, что ни одна из уязвимостей не требует от жертвы каких-либо действий. Атака возможна удалённо, без предварительного доступа к системе и без взаимодействия с пользователем. Это делает ColdFusion особенно привлекательной целью для хакеров, которые ищут точки входа в корпоративные сети. Дело в том, что ColdFusion до сих пор широко используется для построения веб-порталов, внутренних учётных систем и интерфейсов бизнес-аналитики. Такие серверы часто содержат критически важные данные - от персональной информации клиентов до коммерческой тайны.
Теперь разберёмся, к каким последствиям может привести эксплуатация этих дефектов. Получив контроль над сервером, нарушитель способен загрузить и запустить любую программу. Чаще всего это вредоносное ПО: бэкдоры для скрытого доступа, стилеры для кражи учётных данных, программы-вымогатели (ransomware), шифрующие файлы, или майнеры криптовалют. Кроме того, атакующий может попытаться переместиться внутри сети (lateral movement) - то есть использовать скомпрометированный сервер в качестве трамплина для атаки на соседние системы. Для организаций это оборачивается простоем бизнес-процессов, утечкой данных, репутационным ущербом и прямыми финансовыми потерями.
Хорошая новость в том, что Adobe Systems Inc. оперативно отреагировала на сообщения об уязвимостях. Выпущен официальный бюллетень безопасности APSB26-68, в котором перечислены версии, устраняющие проблему. Пользователям настоятельно рекомендуется обновить ColdFusion до версий 2025 Update 10 или 2023 Update 21 в зависимости от используемой ветки. Специалисты по кибербезопасности также советуют проверить серверные логи на предмет подозрительной активности, особенно если обновление не было установлено своевременно. Наличие следов эксплуатации может указывать на то, что злоумышленники уже воспользовались уязвимостью до выхода патча.
Если кратко резюмировать, то перед нами классический пример серьёзного дефекта безопасности в широко распространённом программном обеспечении. Высокая оценка CVSS, удалённый вектор атаки и отсутствие необходимости в аутентификации делают эти уязвимости приоритетной целью для злоумышленников. Любой сервер под управлением ColdFusion версий 2023 и 2025, не достигший указанных уровней обновления, сейчас находится под угрозой. Единственный надёжный способ защиты - немедленная установка исправлений от Adobe. Рекомендуется также отключить ненужные модули платформы и ограничить доступ к панели администратора с помощью сетевых фильтров. Но в первую очередь - установить патч, так как без этого любые дополнительные меры могут оказаться лишь полумерами.
Ссылки
- https://bdu.fstec.ru/vul/2026-09167
- https://bdu.fstec.ru/vul/2026-09169
- https://bdu.fstec.ru/vul/2026-09170
- https://www.cve.org/CVERecord?id=CVE-2026-48316
- https://www.cve.org/CVERecord?id=CVE-2026-48277
- https://www.cve.org/CVERecord?id=CVE-2026-48281
- https://helpx.adobe.com/security/products/coldfusion/apsb26-68.html