Adobe выпустила обновления безопасности для ColdFusion и Adobe Campaign Classic. В сумме закрыты 12 уязвимостей, семь из них получили максимальную оценку опасности 10 из 10 по шкале CVSS. Самая неприятная — выполнение произвольного кода, то есть возможность запустить команды или вредоносную логику на сервере, где работает уязвимый продукт.
Обновления вышли 30 июня 2026 года. Для ColdFusion исправления вошли в ColdFusion 2025 Update 10 и ColdFusion 2023 Update 21. Уязвимыми считаются ColdFusion 2025 Update 9 и более ранние версии, а также ColdFusion 2023 Update 20 и более ранние версии. Платформа — любая: Windows, Linux и другие поддерживаемые окружения.
ColdFusion — серверная платформа для веб-приложений. Она работает поверх Java-экосистемы и использует Java Enterprise Edition-сервер для базовых сервисов, включая подключение к базам данных, именование и каталоги.
В новом наборе для ColdFusion закрыто 11 проблем. Шесть уязвимостей получили CVSS 10.0: CVE-2026-48276, CVE-2026-48277, CVE-2026-48281, CVE-2026-48316, CVE-2026-48282 и CVE-2026-48283. Причины разные: загрузка опасных файлов без достаточных ограничений, неправильная проверка входных данных и выход за пределы разрешённого каталога. Итог один — выполнение произвольного кода.
По CVSS-векторам эти шесть багов выглядят особенно опасно: сетевой вектор атаки, низкая сложность, не нужны учётная запись и действие пользователя. Простыми словами: при уязвимой конфигурации атакующему не обязательно иметь логин или ждать, пока администратор что-то нажмёт. Достаточно доступного сетевого пути к уязвимому компоненту.
Ещё две критические проблемы в ColdFusion получили оценку 9.3. CVE-2026-48313 связана с выходом за пределы разрешённого каталога и может привести к чтению файловой системы. CVE-2026-48315 относится к неправильной проверке входных данных и может дать повышение прав. В бюллетене также есть CVE-2026-48307 с межсайтовым сценарием и риском выполнения кода, CVE-2026-48285 с подделкой серверного запроса и обходом защитных механизмов, а также CVE-2026-48314 с повышением прав.
Adobe Campaign Classic получил отдельный бюллетень. Там закрыта одна критическая уязвимость — CVE-2026-48286. Это ошибка проверки прав с оценкой CVSS 10.0. Она может привести к выполнению произвольного кода. Уязвимы Adobe Campaign Classic v7 7.4.3 build 9396 и более ранние сборки на Windows и Linux. Исправление включено в 7.4.3 build 9397.
Campaign Classic — корпоративная система для управления рассылками и маркетинговыми кампаниями. В реальной инфраструктуре она может работать в разных схемах: полностью у заказчика, в смешанном режиме или как управляемая услуга. Текущий бюллетень касается локальных установок, включая локальные компоненты в смешанных развёртываниях. Для экземпляров, размещённых у Adobe, действие от клиента не требуется: такие среды уже исправлены.
Обе публикации получили рейтинг Priority 1. В системе Adobe это самый срочный уровень: он применяется к уязвимостям, которые уже атакуют или которые имеют повышенный риск попасть в реальные атаки. Для администраторов такой рейтинг означает установку как можно быстрее, ориентир — в пределах 72 часов.
Производитель не сообщает о публичной эксплуатации новых уязвимостей. Но для ColdFusion такой статус не повод расслабляться. Старые уязвимости в этой платформе уже попадали в каталог известных эксплуатируемых уязвимостей: NVD указывает CVE-2023-26360 как проблему ColdFusion с выполнением кода, которая находится в CISA Known Exploited Vulnerabilities Catalog.
К слову, это уже не первый срочный выпуск для ColdFusion за июнь. 9 июня Adobe публиковала APSB26-64 с исправлениями для ColdFusion 2025 и 2023: тогда тоже были критические и важные уязвимости, включая выполнение произвольного кода, повышение прав, чтение файловой системы и обход защитных механизмов.
Сначала нужно проверить фактическую версию ColdFusion и Campaign Classic, затем поставить ColdFusion 2025 Update 10 или ColdFusion 2023 Update 21, а Campaign Classic обновить до 7.4.3 build 9397. После установки — проверить доступность административных интерфейсов из внешних сетей, журналы запросов, появление новых файлов в каталогах приложений, неожиданные изменения задач и служебных учётных записей.
Отдельно стоит пройтись по рекомендациям для ColdFusion. В бюллетене указаны свежий MySQL Java Connector, обновление JDK/JRE LTS, документация по serial filter и Lockdown Guide. Serial filter — это фильтр сериализации Java, который помогает ограничивать опасные классы при обработке сериализованных данных. Lockdown Guide — практическое руководство по ужесточению конфигурации сервера. Для ColdFusion это не косметика, а часть защиты от повторения старых сценариев атак.
На уровне мониторинга стоит искать признаки загрузки необычных файлов, обращения к неизвестным CFM/CFC-скриптам, неожиданные вызовы системных команд, сетевые подключения от сервера к странным адресам, ошибки обхода каталогов и запросы с подозрительными параметрами пути. Для Campaign Classic важны журналы авторизации, действия технических пользователей, изменения шаблонов, рабочих процессов и серверных конфигураций.
Есть новость? Станьте автором.
Мы сотрудничаем с независимыми исследователями и специалистами по кибербезопасности. Отправьте нам новость или предложите статью на рассмотрение редакции.
Читайте также
382 уязвимости за один релиз: Google выпустила большой патч Chrome и закрыла 15 критических уязвимостей
Чистый GitHub-репозиторий заставил ИИ-кодера запустить вредонос: новая атака бьёт по доверию к агентам