CISA обязала федеральные гражданские ведомства США закрыть критическую уязвимость в Adobe ColdFusion до пятницы, 10 июля 2026 года. Речь о CVE-2026-48282 — ошибке с максимальной оценкой 10 из 10 по CVSS. Уязвимость уже добавлена в каталог Known Exploited Vulnerabilities, куда попадают баги с подтверждённой эксплуатацией в реальных атаках. Для федеральных агентств США это обязательный срок исправления.
Проблема затрагивает ColdFusion 2025 Update 9 и более ранние версии, а также ColdFusion 2023 Update 20 и более ранние версии. Adobe выпустила исправления 30 июня 2026 года в бюллетене APSB26-68 и рекомендует перейти на ColdFusion 2025 Update 10 или ColdFusion 2023 Update 21. Компания присвоила обновлению наивысший приоритет — 1. Такой уровень означает, что патч нужен быстро, особенно если сервер доступен из сети.
CVE-2026-48282 относится к классу path traversal — обход каталога или выход за пределы разрешённого пути. Уязвимость возникает, когда приложение недостаточно жёстко проверяет путь к файлу и позволяет добраться до участков файловой системы, куда запрос идти не должен. В случае ColdFusion ошибка может привести к выполнению произвольного кода в контексте текущего пользователя. Для атаки не нужна учётная запись, не требуется действие со стороны пользователя, а сама эксплуатация оценивается как низкая по сложности.
Adobe отдельно подтвердила, что знает об ограниченных атаках на ColdFusion с использованием CVE-2026-48282. CISA в карточке NVD отмечает активную эксплуатацию, автоматизируемость атаки и полный технический эффект при успешном взломе.
ColdFusion — коммерческая платформа Adobe для разработки и запуска веб-приложений. Такие системы часто остаются в корпоративной инфраструктуре годами: внутренние порталы, административные панели, старые бизнес-приложения, интеграции с базами данных и отчётностью.
В бюллетене APSB26-68 Adobe закрыла не одну проблему. Всего в списке 11 CVE для ColdFusion. Шесть из них получили 10 из 10 и могут привести к выполнению произвольного кода: CVE-2026-48276, CVE-2026-48277, CVE-2026-48281, CVE-2026-48316, CVE-2026-48282 и CVE-2026-48283. Ещё несколько ошибок позволяют читать файлы, повышать права, обходить защитные механизмы или выполнять код при дополнительных условиях.
Главная опасность CVE-2026-48282 — сочетание трёх факторов: атака по сети, отсутствие необходимости в учётной записи и максимальный балл CVSS. Данные Shadowserver показывали почти 800 экземпляров Adobe ColdFusion, доступных из интернета.
Adobe также рекомендует обновить используемый JDK/JRE LTS до актуального поддерживаемого выпуска, применить настройки из документации по безопасной конфигурации ColdFusion и пройтись по Lockdown Guide для соответствующей версии.
Есть новость? Станьте автором.
Мы сотрудничаем с независимыми исследователями и специалистами по кибербезопасности. Отправьте нам новость или предложите статью на рассмотрение редакции.