Новости
Критическая RCE-уязвимость SharePoint: CISA требует срочно обновиться
CISA внесла RCE-брешь SharePoint (CVE-2026-45659) в список активно эксплуатируемых. Почему это важно всем, кто хранит рабочие файлы в корпоративных системах.
Свежая брешь в веб-платформе Adobe ColdFusion (CVE-2026-48282) получила максимальную оценку опасности CVSS 10.0 и оказалась под реальными атаками уже через несколько часов после публикации технических деталей. Суть проблемы предельно наглядна: злоумышленник может записать на сервер один-единственный файл — и через него получить полный контроль над машиной. CISA внесла уязвимость в каталог активно эксплуатируемых.

Коротко: уязвимость CVE-2026-48282 в Adobe ColdFusion (CVSS 10.0) — это обход пути (path traversal) в модуле удалённой разработки RDS. Он позволяет без аутентификации записать произвольный файл в веб-каталог сервера, залить туда веб-шелл и выполнить код. Патч вышел 30 июня 2026 года, но атаки начались через считаные часы. CISA обязала ведомства США закрыть брешь к 10 июля.
30 июня 2026 года Adobe выпустила внеплановый набор обновлений безопасности, закрыв сразу несколько критических уязвимостей в ColdFusion и Campaign Classic — среди них семь с максимальной оценкой CVSS 10.0. Главной по последствиям оказалась CVE-2026-48282: спустя всего пару часов после того, как исследователи опубликовали технический разбор, ханипот-сети зафиксировали попытки эксплуатации «в дикой природе». Уже 8 июля 2026 года американское агентство CISA добавило брешь в каталог известных эксплуатируемых уязвимостей (KEV) и предписало федеральным ведомствам устранить её до 10 июля 2026 года.
Adobe ColdFusion — это серверная платформа для разработки веб-приложений на языке CFML. Она стоит на множестве корпоративных и государственных сайтов, а исторически ColdFusion — одна из любимых мишеней атакующих: почти каждый год в ней находят критическую дыру, ведущую к удалённому выполнению кода.
Уязвимость живёт в компоненте RDS (Remote Development Services) — служебном интерфейсе, через который среда разработчика может взаимодействовать с работающим сервером ColdFusion. Проблема — в обработчике файловых операций FILEIO: он недостаточно проверяет путь, по которому записывается файл. Это классический path traversal (обход каталога): подставляя в запрос последовательности вроде ../, атакующий выходит за пределы разрешённой папки и указывает произвольное место на диске.
Дальше механика простая и оттого опасная. Злоумышленник отправляет специально сформированный HTTP-запрос и записывает свой файл прямо в веб-корень сервера — обычно это CFML-скрипт с исполняемыми тегами (веб-шелл). После этого достаточно открыть этот файл в браузере, чтобы сервер выполнил заложенный в нём код — уже с правами службы ColdFusion. По оценке исследователей, при отключённой аутентификации RDS для атаки вообще не нужны логин и пароль.
Возможность положить произвольный файл в нужную папку веб-сервера — почти всегда прямой путь к полному захвату машины. Не важно, «безобидный» это по виду файл или нет: если он попадает в исполняемый каталог, сервер выполнит его как код. Поэтому уязвимости класса «обход пути» и «загрузка файла опасного типа» ценятся атакующими на вес золота.
Уязвимы Adobe ColdFusion 2025 (обновление 9 и более ранние) и Adobe ColdFusion 2023 (обновление 20 и более ранние). Adobe устранила проблему в версиях ColdFusion 2025 Update 10 и ColdFusion 2023 Update 21. Тем же июньским набором закрыты и другие критические бреши, включая уязвимости неограниченной загрузки файла опасного типа (CVE-2026-48276 и CVE-2026-48283) — они тоже позволяют залить на сервер вредоносный файл и добиться выполнения кода.
Если сервер был доступен из интернета в последние недели, простой установки патча мало: исследователи рекомендуют искать следы компрометации — посторонние файлы в веб-корне и каталоге /CFIDE/, неизвестные скрипты и подозрительные процессы. Появление такого файла — почти верный признак, что сервером уже успели воспользоваться.
Для читателя, который не администрирует ColdFusion, у этой истории есть универсальный смысл. Она про то, что файл — это не всегда просто данные. В зависимости от того, куда он попадает и как его обрабатывает система, обычная запись файла может обернуться выполнением кода. Тот же принцип работает и на пользовательском уровне: вредоносный документ, архив или картинка опасны ровно потому, что программа-получатель обходится с ними не так, как ожидает жертва. Мы недавно разбирали, как злоумышленники маскируют вредонос под привычные RAR-, SVG- и PDF-вложения, и как связка ISO- и LNK-файлов используется для обхода защиты.
Практический вывод простой: любые системы, которые принимают или хранят ваши файлы, — от корпоративного веб-сервера до онлайн-конвертера — стоит рассматривать как потенциальную точку риска. Базовые правила проверки загрузок, шифрования и безопасной передачи данных собраны в нашем разделе безопасность файлов.
/CFIDE/ на наличие посторонних файлов и скриптов, появившихся за последние недели.ide.cfm и обращений к неизвестным .cfm-файлам.Общий принцип неизменен: серверы, через которые проходят файлы и код, — приоритетная мишень, а обход пути и загрузка файлов остаются одними из самых надёжных способов их взлома. Быстрый патч и минимизация открытых интерфейсов закрывают большинство таких векторов ещё до инцидента.