Ad
Угрозы

ColdFusion получил срочный патч: Adobe закрыла 13 уязвимостей

Маша Даровская
By Маша Даровская , IT-редактор и автор
ColdFusion получил срочный патч: Adobe закрыла 13 уязвимостей
Обложка © Anonhaven

Adobe выпустила очередное обновление безопасности для серверной платформы ColdFusion. Патч закрывает 13 уязвимостей, через которые атакующий может выполнить произвольный код, повысить свои права, прочитать файлы на сервере или обойти защитные механизмы.

Исправления предназначены для ColdFusion 2025 и ColdFusion 2023 на всех поддерживаемых платформах. Adobe присвоила обновлению высший приоритет — Priority 1. Такой рейтинг означает, что уязвимости уже могут использоваться в атаках либо имеют повышенный риск быстрой эксплуатации. Компания рекомендует устанавливать подобные патчи как можно скорее — ориентировочно в течение 72 часов.

Новых подтверждённых атак с применением закрытых 14 июля уязвимостей Adobe пока не обнаружила. Расслабляться администраторам всё равно рано: предыдущий комплект исправлений ColdFusion вышел всего за две недели до этого, а одну из закрытых тогда уязвимостей злоумышленники успели взять в работу.

Уязвимы следующие выпуски:

ColdFusion 2025 Update 10 и более ранние обновления;

ColdFusion 2023 Update 21 и более ранние обновления.

Для устранения проблем необходимо перейти на ColdFusion 2025 Update 11 либо ColdFusion 2023 Update 22. Исправления доступны для всех платформ, на которых работают эти версии серверной системы.

Администраторы, которые установили июньский Update 10 или Update 21 после сообщений об атаках, должны обновить серверы ещё раз. Июльский бюллетень закрывает новый набор уязвимостей, которого не было в предыдущем пакете.

Полный бюллетень Adobe содержит 13 идентификаторов CVE. Двенадцать уязвимостей производитель пометил как критические, ещё одну — как умеренную. Самая опасная проблема получила обозначение CVE-2026-48318 и оценку 9,9 балла из 10 по шкале CVSS. Это ошибка проверки пути к файлу, известная как обход каталогов. Атакующий с учётной записью с небольшими правами может передать серверу специально сформированный путь, выйти за пределы разрешённого каталога и добиться выполнения кода. Атака проводится по сети и не требует действий пользователя.

CVE-2026-48322 получила 9,6 балла. Она связана с внедрением кода: приложение недостаточно строго отделяет данные от исполняемых конструкций. Злоумышленник с небольшими правами может внедрить собственные инструкции и запустить их через ColdFusion без участия жертвы.

Ещё одна уязвимость с оценкой 9,6, CVE-2026-48284, возникла из-за неправильной проверки входных данных. Для её эксплуатации не нужна учётная запись или подтверждение со стороны пользователя. Доступ должен осуществляться из соседнего сетевого сегмента, поэтому основной риск возникает внутри корпоративной сети, облачной среды или плохо изолированного контура. Результатом также может стать выполнение произвольного кода.

CVE-2026-48321 связана с неправильной проверкой полномочий. Атакующему не нужна предварительная авторизация, но требуется доступ к соседней сети. Успешная эксплуатация позволяет повысить привилегии.

CVE-2026-48325 затрагивает критическую функцию, для которой отсутствует обязательная проверка личности. Она также доступна без учётной записи из соседнего сетевого сегмента и может привести к выполнению кода.

Обе уязвимости получили по 9,3 балла CVSS. Отсутствие обязательной авторизации делает их особенно опасными для серверов, административные интерфейсы и внутренние службы которых доступны из общих облачных или корпоративных сетей.

Выполнение произвольного кода не всегда означает мгновенное получение прав root или системного администратора Windows. Код первоначально запускается с полномочиями процесса ColdFusion. Ущерб будет зависеть от того, под какой учётной записью работает сервер, к каким каталогам и базам данных она имеет доступ и может ли атакующий продолжить повышение привилегий.

Сервер ColdFusion с избыточными правами превращает обычную ошибку веб-приложения в точку полного захвата системы.

CVE-2026-48324 представляет собой внедрение команд SQL. Сервер неправильно обрабатывает специальные элементы внутри запроса к базе данных, что позволяет изменить логику команды и добиться выполнения кода.

Уязвимость доступна по сети без действий пользователя, но атакующему требуются высокие привилегии. Её рейтинг составляет 9,1 балла. Высокие требования к правам уменьшают вероятность первоначального проникновения, но делают ошибку подходящей для развития уже начавшейся атаки.

Злоумышленник, который получил административную или привилегированную учётную запись другим способом, сможет использовать такую дыру для перехода от управления приложением к выполнению команд на сервере.

CVE-2026-48319 также получила 9,1 балла. Это ещё одна ошибка обхода каталогов с возможностью удалённого выполнения кода. Она доступна через сеть и не требует участия пользователя, но для эксплуатации нужны высокие права.

CVE-2026-48327 появилась из-за неправильной проверки полномочий. Атакующий с небольшой учётной записью в соседнем сетевом сегменте может добиться выполнения собственного кода. Adobe оценила проблему в 9 баллов.

CVE-2026-48320 представляет собой отражённую межсайтовую подмену сценариев, или reflected XSS. Сервер возвращает внедрённый атакующим сценарий в ответе, после чего код исполняется в браузере пользователя. Для атаки требуется действие жертвы, но предварительная учётная запись злоумышленнику не нужна. Последствием может стать повышение привилегий. Оценка — 8,5 балла.

Такая цепочка способна использовать браузер администратора как промежуточный инструмент. Вредоносный сценарий может выполнять действия от имени уже авторизованного пользователя, получать доступ к данным интерфейса или отправлять запросы с его полномочиями.

CVE-2026-48332 относится к классу SSRF — подделке серверных запросов. Атакующий заставляет ColdFusion самостоятельно обращаться к выбранным сетевым адресам.

Через SSRF часто пытаются добраться до внутренних панелей, служебных API, облачных метаданных и ресурсов, которые закрыты от прямого подключения из интернета. В данном случае требуется учётная запись с небольшими правами, действия пользователя не нужны. Уязвимость позволяет обходить защитные механизмы и получила 7,7 балла.

Такую же оценку получила CVE-2026-48328 — ошибка проверки входных данных, позволяющая обойти часть функций безопасности. Она доступна удалённо после входа под учётной записью с небольшими правами.

CVE-2026-48338 связана с обходом каталогов и чтением произвольных файлов. Для атаки нужен доступ из соседнего сегмента и небольшие привилегии. Уязвимость может раскрыть конфигурационные файлы, журналы, ключи, пароли подключения к базе данных и другие данные, доступные процессу ColdFusion. Её рейтинг составляет 6,8 балла.

Единственная умеренная проблема, CVE-2026-48329, вызвана недостаточным завершением пользовательских сеансов. Старый сеанс может сохранять часть возможностей дольше, чем предполагает политика безопасности. Уязвимость получила 2,7 балла.

Adobe не располагает сведениями об эксплуатации уязвимостей из бюллетеня APSB26-82. Рейтинг Priority 1 сам по себе не подтверждает наличие атак.

Высший приоритет присваивается и тем обновлениям, для которых производитель видит повышенную вероятность быстрой разработки рабочего эксплойта. Для таких патчей Adobe предлагает срок установки около 72 часов.

30 июня Adobe закрыла другой набор из 13 уязвимостей. Шесть из них получили максимальные 10 баллов CVSS и позволяли выполнять код без учётной записи и действий пользователя.

В этот комплект входила CVE-2026-48282 — ошибка обхода каталогов с удалённым выполнением кода. CISA добавило её в каталог известных эксплуатируемых уязвимостей 7 июля. Adobe позднее обновила бюллетень и подтвердила ограниченные атаки на серверы ColdFusion.

Новые июльские уязвимости представляют отдельный набор. Свидетельств их эксплуатации пока нет, но предыдущий инцидент показал, что серверы ColdFusion начинают проверять на уязвимость вскоре после публикации технических подробностей.

Обновление ColdFusion стало частью большого июльского выпуска Adobe. Компания закрыла 88 уязвимостей в 12 продуктах.

Исправления также получили Adobe Commerce, Experience Manager, Illustrator, Animate, Audition, Bridge, Media Encoder, Premiere Pro, After Effects, Creative Cloud Desktop и комплект разработки Content Credentials. Критические ошибки присутствовали в Commerce, Experience Manager и Illustrator.

ColdFusion выделяется высоким приоритетом и частотой последних обновлений. В истории продукта уже есть случаи быстрой эксплуатации свежих ошибок, поэтому обычного ежемесячного цикла установки патчей для доступных из интернета серверов может оказаться недостаточно.

Adobe рекомендует после установки Update 11 или Update 22 проверить и компоненты, от которых зависит сервер.

Производитель советует использовать свежую версию Java-коннектора MySQL, обновить поддерживаемую сборку JDK или JRE с длительным сроком поддержки, настроить фильтрацию сериализованных объектов и применить параметры из руководств ColdFusion Lockdown.

Фильтр сериализации ограничивает классы Java, которые приложение может восстанавливать из входных данных. Это снижает риск атак через небезопасную десериализацию — механизм, при котором специально подготовленный объект превращается в цепочку выполнения команд.

Руководства Lockdown предназначены для уменьшения поверхности атаки. Они охватывают разделение прав, доступ к административной панели, настройки веб-сервера, каталоги, журналы, сетевые службы и учётные записи процесса.

После обновления стоит проверить журналы запросов и системные события за период до установки патча. Особое внимание требуется необычным обращениям к административным маршрутам, попыткам выхода за пределы каталогов, неожиданным SQL-запросам, созданию файлов и исходящим соединениям к неизвестным адресам.

Есть новость? Станьте автором.

Мы сотрудничаем с независимыми исследователями и специалистами по кибербезопасности. Отправьте нам новость или предложите статью на рассмотрение редакции.