В Банке данных угроз безопасности информации (BDU) была зарегистрирована новая критическая уязвимость в программной платформе ColdFusion от компании Adobe. Идентификатор записи - BDU:2025-15514. Данная уязвимость, связанная с неограниченной загрузкой файлов опасного типа, может позволить удаленному злоумышленнику выполнить произвольный код на сервере. Производитель подтвердил наличие проблемы и выпустил обновления для её устранения.
Детали уязвимости
Уязвимость затрагивает несколько поддерживаемых версий популярной платформы для веб-разработки и корпоративных приложений. В частности, риску подвержены ColdFusion до версии 2025 Update 5, до версии 2023 Update 17 и до версии 2021 Update 23. Ошибка классифицируется как CWE-434 (Unrestricted Upload of File with Dangerous Type). С технической точки зрения, она позволяет злоумышленнику загрузить на сервер файл, содержащий вредоносный код, и впоследствии выполнить его, получив полный контроль над системой.
Оценка критичности уязвимости по методологии CVSS (Common Vulnerability Scoring System) указывает на высокую степень опасности. Базовая оценка по CVSS 2.0 составляет 9.0 баллов из 10. Более современная оценка по CVSS 3.1 достигает 9.1 балла, что соответствует критическому уровню. Вектор атаки по CVSS 3.1 (AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H) расшифровывается следующим образом. Атака может быть совершена удаленно по сети (AV:N) с низкой сложностью эксплуатации (AC:L). Однако для успешной атаки злоумышленнику необходимы высокие привилегии на целевом приложении (PR:H). Взаимодействие пользователя не требуется (UI:N). Важно отметить, что последствия успешной атаки могут затронуть не только саму уязвимую систему, но и другие связанные с ней компоненты (S:C). В результате может быть полностью скомпрометирована конфиденциальность (C:H), целостность (I:H) и доступность (A:H) данных и сервисов.
В контексте реальных угроз такая уязвимость является крайне привлекательной для киберпреступников. В первую очередь, она может быть использована для первоначального проникновения в корпоративную сеть. После этого злоумышленники часто стремятся обеспечить себе постоянное присутствие (persistence) в системе. Далее, они могут развернуть вредоносную нагрузку (payload), например, шифровальщик (ransomware) или бэкдор. Следовательно, эксплуатация этой уязвимости может стать первым шагом в сложной цепочке атаки по модели, например, MITRE ATT&CK.
Администраторам и специалистам по информационной безопасности настоятельно рекомендуется немедленно принять меры. Способ устранения уязвимости является стандартным, но от этого не менее важным - необходимо обновить программное обеспечение до защищенных версий. Adobe Systems Inc. выпустила соответствующие патчи, подробности о которых опубликованы в бюллетене безопасности APSB25-105. В частности, пользователям следует установить ColdFusion 2025 Update 5, ColdFusion 2023 Update 17 или ColdFusion 2021 Update 23 в зависимости от используемой ветки продукта.
На данный момент информация о наличии публичных эксплойтов, использующих данную уязвимость, уточняется. Однако высокая оценка CVSS и простота эксплуатации повышают вероятность того, что такие инструменты могут появиться в ближайшее время. Поэтому задержка с установкой обновлений недопустима. Кроме того, в качестве дополнительной меры защиты можно рассмотреть настройку правил межсетевых экранов нового поколения (NGFW) или систем предотвращения вторжений (IPS) для блокировки попыток эксплуатации данной уязвимости.
Эта ситуация в очередной раз подчеркивает важность своевременного управления обновлениями и наличия эффективного процесса исправления уязвимостей (vulnerability management) в любой организации. Платформа ColdFusion часто используется для развертывания критически важных бизнес-приложений, что делает её особо привлекательной мишенью для атакующих. Регулярный мониторинг источников, таких как BDU или базы данных CVE (Common Vulnerabilities and Exposures), где данной уязвимости присвоен идентификатор CVE-2025-61808, должен быть неотъемлемой частью практики безопасности.
Таким образом, хотя уязвимость уже устранена производителем, её потенциальная опасность остается высокой до момента применения патчей конечными пользователями. Оперативное обновление является единственным надежным способом защиты корпоративных активов от потенциальной компрометации через эту критическую брешь в безопасности.
Ссылки
- https://bdu.fstec.ru/vul/2025-15514
- https://www.cve.org/CVERecord?id=CVE-2025-61808
- https://helpx.adobe.com/security/products/coldfusion/apsb25-105.html
