Новости · Безопасность файлов

Adobe ColdFusion под атакой: запись файла превращается в захват сервера

Свежая брешь в веб-платформе Adobe ColdFusion (CVE-2026-48282) получила максимальную оценку опасности CVSS 10.0 и оказалась под реальными атаками уже через несколько часов после публикации технических деталей. Суть проблемы предельно наглядна: злоумышленник может записать на сервер один-единственный файл — и через него получить полный контроль над машиной. CISA внесла уязвимость в каталог активно эксплуатируемых.

10 июля 2026 Редакция LoadFile Чтение 5 мин
Красный замок разбивается на серверной стойке, из пробоины утекают иконки файлов — уязвимость записи файлов в Adobe ColdFusion

Коротко: уязвимость CVE-2026-48282 в Adobe ColdFusion (CVSS 10.0) — это обход пути (path traversal) в модуле удалённой разработки RDS. Он позволяет без аутентификации записать произвольный файл в веб-каталог сервера, залить туда веб-шелл и выполнить код. Патч вышел 30 июня 2026 года, но атаки начались через считаные часы. CISA обязала ведомства США закрыть брешь к 10 июля.

Что произошло

30 июня 2026 года Adobe выпустила внеплановый набор обновлений безопасности, закрыв сразу несколько критических уязвимостей в ColdFusion и Campaign Classic — среди них семь с максимальной оценкой CVSS 10.0. Главной по последствиям оказалась CVE-2026-48282: спустя всего пару часов после того, как исследователи опубликовали технический разбор, ханипот-сети зафиксировали попытки эксплуатации «в дикой природе». Уже 8 июля 2026 года американское агентство CISA добавило брешь в каталог известных эксплуатируемых уязвимостей (KEV) и предписало федеральным ведомствам устранить её до 10 июля 2026 года.

Adobe ColdFusion — это серверная платформа для разработки веб-приложений на языке CFML. Она стоит на множестве корпоративных и государственных сайтов, а исторически ColdFusion — одна из любимых мишеней атакующих: почти каждый год в ней находят критическую дыру, ведущую к удалённому выполнению кода.

В чём суть: обход пути и запись файла

Уязвимость живёт в компоненте RDS (Remote Development Services) — служебном интерфейсе, через который среда разработчика может взаимодействовать с работающим сервером ColdFusion. Проблема — в обработчике файловых операций FILEIO: он недостаточно проверяет путь, по которому записывается файл. Это классический path traversal (обход каталога): подставляя в запрос последовательности вроде ../, атакующий выходит за пределы разрешённой папки и указывает произвольное место на диске.

Дальше механика простая и оттого опасная. Злоумышленник отправляет специально сформированный HTTP-запрос и записывает свой файл прямо в веб-корень сервера — обычно это CFML-скрипт с исполняемыми тегами (веб-шелл). После этого достаточно открыть этот файл в браузере, чтобы сервер выполнил заложенный в нём код — уже с правами службы ColdFusion. По оценке исследователей, при отключённой аутентификации RDS для атаки вообще не нужны логин и пароль.

!
Почему «просто запись файла» — это катастрофа

Возможность положить произвольный файл в нужную папку веб-сервера — почти всегда прямой путь к полному захвату машины. Не важно, «безобидный» это по виду файл или нет: если он попадает в исполняемый каталог, сервер выполнит его как код. Поэтому уязвимости класса «обход пути» и «загрузка файла опасного типа» ценятся атакующими на вес золота.

Кого это касается и что уже исправлено

Уязвимы Adobe ColdFusion 2025 (обновление 9 и более ранние) и Adobe ColdFusion 2023 (обновление 20 и более ранние). Adobe устранила проблему в версиях ColdFusion 2025 Update 10 и ColdFusion 2023 Update 21. Тем же июньским набором закрыты и другие критические бреши, включая уязвимости неограниченной загрузки файла опасного типа (CVE-2026-48276 и CVE-2026-48283) — они тоже позволяют залить на сервер вредоносный файл и добиться выполнения кода.

Если сервер был доступен из интернета в последние недели, простой установки патча мало: исследователи рекомендуют искать следы компрометации — посторонние файлы в веб-корне и каталоге /CFIDE/, неизвестные скрипты и подозрительные процессы. Появление такого файла — почти верный признак, что сервером уже успели воспользоваться.

Что это значит для работы с файлами

Для читателя, который не администрирует ColdFusion, у этой истории есть универсальный смысл. Она про то, что файл — это не всегда просто данные. В зависимости от того, куда он попадает и как его обрабатывает система, обычная запись файла может обернуться выполнением кода. Тот же принцип работает и на пользовательском уровне: вредоносный документ, архив или картинка опасны ровно потому, что программа-получатель обходится с ними не так, как ожидает жертва. Мы недавно разбирали, как злоумышленники маскируют вредонос под привычные RAR-, SVG- и PDF-вложения, и как связка ISO- и LNK-файлов используется для обхода защиты.

Практический вывод простой: любые системы, которые принимают или хранят ваши файлы, — от корпоративного веб-сервера до онлайн-конвертера — стоит рассматривать как потенциальную точку риска. Базовые правила проверки загрузок, шифрования и безопасной передачи данных собраны в нашем разделе безопасность файлов.

Что делать прямо сейчас

  1. Если у вас развёрнут Adobe ColdFusion 2025 или 2023 — немедленно обновитесь до ColdFusion 2025 Update 10 или 2023 Update 21.
  2. Отключите или ограничьте доступ к службе RDS, если она не используется в продакшене, и проверьте, что аутентификация RDS включена.
  3. Проверьте веб-корень и каталог /CFIDE/ на наличие посторонних файлов и скриптов, появившихся за последние недели.
  4. Уберите ColdFusion-сервер из прямого доступа в интернет, если в этом нет необходимости, и закройте административные интерфейсы.
  5. Изучите журналы веб-сервера на предмет подозрительных POST-запросов к ide.cfm и обращений к неизвестным .cfm-файлам.

Общий принцип неизменен: серверы, через которые проходят файлы и код, — приоритетная мишень, а обход пути и загрузка файлов остаются одними из самых надёжных способов их взлома. Быстрый патч и минимизация открытых интерфейсов закрывают большинство таких векторов ещё до инцидента.

Источники

Читайте также