Угрозы

CISA дала федеральным ведомствам США срок до пятницы: Adobe ColdFusion срочно патчат из-за уязвимости на 10 из 10

Маша Даровская
By Маша Даровская , IT-редактор и автор
CISA дала федеральным ведомствам США срок до пятницы: Adobe ColdFusion срочно патчат из-за уязвимости на 10 из 10
Обложка © Anonhaven

CISA обязала федеральные гражданские ведомства США закрыть критическую уязвимость в Adobe ColdFusion до пятницы, 10 июля 2026 года. Речь о CVE-2026-48282 — ошибке с максимальной оценкой 10 из 10 по CVSS. Уязвимость уже добавлена в каталог Known Exploited Vulnerabilities, куда попадают баги с подтверждённой эксплуатацией в реальных атаках. Для федеральных агентств США это обязательный срок исправления.

Проблема затрагивает ColdFusion 2025 Update 9 и более ранние версии, а также ColdFusion 2023 Update 20 и более ранние версии. Adobe выпустила исправления 30 июня 2026 года в бюллетене APSB26-68 и рекомендует перейти на ColdFusion 2025 Update 10 или ColdFusion 2023 Update 21. Компания присвоила обновлению наивысший приоритет — 1. Такой уровень означает, что патч нужен быстро, особенно если сервер доступен из сети.

CVE-2026-48282 относится к классу path traversal — обход каталога или выход за пределы разрешённого пути. Уязвимость возникает, когда приложение недостаточно жёстко проверяет путь к файлу и позволяет добраться до участков файловой системы, куда запрос идти не должен. В случае ColdFusion ошибка может привести к выполнению произвольного кода в контексте текущего пользователя. Для атаки не нужна учётная запись, не требуется действие со стороны пользователя, а сама эксплуатация оценивается как низкая по сложности.

Adobe отдельно подтвердила, что знает об ограниченных атаках на ColdFusion с использованием CVE-2026-48282. CISA в карточке NVD отмечает активную эксплуатацию, автоматизируемость атаки и полный технический эффект при успешном взломе.

ColdFusion — коммерческая платформа Adobe для разработки и запуска веб-приложений. Такие системы часто остаются в корпоративной инфраструктуре годами: внутренние порталы, административные панели, старые бизнес-приложения, интеграции с базами данных и отчётностью.

В бюллетене APSB26-68 Adobe закрыла не одну проблему. Всего в списке 11 CVE для ColdFusion. Шесть из них получили 10 из 10 и могут привести к выполнению произвольного кода: CVE-2026-48276, CVE-2026-48277, CVE-2026-48281, CVE-2026-48316, CVE-2026-48282 и CVE-2026-48283. Ещё несколько ошибок позволяют читать файлы, повышать права, обходить защитные механизмы или выполнять код при дополнительных условиях.

Главная опасность CVE-2026-48282 — сочетание трёх факторов: атака по сети, отсутствие необходимости в учётной записи и максимальный балл CVSS. Данные Shadowserver показывали почти 800 экземпляров Adobe ColdFusion, доступных из интернета. 

Adobe также рекомендует обновить используемый JDK/JRE LTS до актуального поддерживаемого выпуска, применить настройки из документации по безопасной конфигурации ColdFusion и пройтись по Lockdown Guide для соответствующей версии.

Есть новость? Станьте автором.

Мы сотрудничаем с независимыми исследователями и специалистами по кибербезопасности. Отправьте нам новость или предложите статью на рассмотрение редакции.