Спустя примерно два часа после раскрытия деталей критической уязвимости в Adobe ColdFusion злоумышленники уже начали ее эксплуатировать. Речь идет о CVE-2026-48282 с максимальной оценкой 10 из 10 по CVSS: проблема затрагивает ColdFusion 2025.9, 2023.20 и более ранние версии.
Adobe закрыла дыру на прошлой неделе и отдельно просила администраторов ставить обновления как можно скорее. Канадский центр кибербезопасности тоже предупредил, что уязвимость уже используют в атаках.
Что произошло и почему это важно
CVE-2026-48282 относится к типу path traversal — обходу путей внутри файловой системы. Для атакующего это означает возможность записывать произвольные файлы без аутентификации, а дальше — выходить на удаленное выполнение кода.
По данным основателя KEVIntel Райана Дьюхерста, первые попытки атак зафиксировали почти сразу после публикации технических подробностей. Один из запросов пришел с IP-адреса 103.207.14[.]220 и был нацелен на файл C:\Windows\win.ini.
Для администраторов это плохой сценарий по одной простой причине: после успешной эксплуатации такой баг дает не точечную ошибку, а полноценный контроль над сервером. Именно поэтому разбор рынков монетизации уязвимостей здесь полезен не только как теория — критические дыры быстро превращаются в практический инструмент атак.
Какие варианты защиты есть сейчас
1. Срочно поставить обновления
Это самый прямой и самый надежный путь. Adobe уже выпустила исправления для ColdFusion 2023 Update 21 и ColdFusion 2025 Update 10.
Плюсы простые: вы убираете саму причину риска и закрываете не только CVE-2026-48282, но и еще семь проблем, найденных в том же пакете патчей.
Минус тоже очевиден: без нормального окна обслуживания обновление может затронуть рабочие процессы. Но в этой ситуации откладывать опаснее, чем перезапускать сервисы.
2. Проверить, где именно у вас работает ColdFusion
По данным Shadowserver, в интернете доступны почти 800 инстансов Adobe ColdFusion. Это значит, что многие серверы по-прежнему торчат наружу и попадают в поле зрения автоматических сканеров.
Если у вас есть такой узел, стоит быстро сверить версию, внешний периметр и журнал обращений. Отдельно проверьте, не появились ли странные попытки записи файлов, обращения к системным путям и неожиданные ошибки в логах.
3. Усилить контроль вокруг сервера
Патч — не единственная мера. Важно ограничить доступ к админским интерфейсам, убрать лишние права у учетных записей и посмотреть, что происходит на самом хосте после установки обновлений.
Здесь помогает и базовая цифровая гигиена: отдельные пароли, 2FA, контроль секретов и минимальные права у сервисных пользователей. Если нужен дополнительный слой защиты для рабочих подключений из чужих или временных сетей, этот инструмент для защищенного трафика можно рассматривать как часть общей схемы, а не как замену обновлениям.
4. Следить за соседними продуктами Adobe
Одновременно с патчами для ColdFusion компания закрыла CVE-2026-48286 в Adobe Campaign Classic. Там ошибка авторизации тоже позволяла выполнить произвольный код.
Это хороший повод проверить не один продукт, а весь стек, который обслуживает тот же контур. В похожих ситуациях атака редко останавливается на одном сервере — дальше идут поиск соседних сервисов, повторные входы и попытки закрепиться в инфраструктуре. Похожая логика разбиралась и в материале о скрытых рисках в конфигурациях и секретах: одна уязвимость часто тянет за собой цепочку других проблем.
Кому что делать в первую очередь
Если вы администратор ColdFusion — ставьте патчи немедленно и потом проверяйте логи на следы посторонней активности. Если вы отвечаете за периметр компании — ищите публично доступные инстансы и закрывайте лишние точки входа.
Если у вас нет ColdFusion, но есть серверы с веб-приложениями и старыми компонентами, этот инцидент все равно полезен как ориентир. Он показывает, как быстро свежая уязвимость переходит из новостей в реальные атаки.
Практический чек-лист
- Проверить, используются ли в инфраструктуре ColdFusion 2025.9, 2023.20 или более ранние версии.
- Установить ColdFusion 2023 Update 21 или ColdFusion 2025 Update 10.
- Просмотреть журналы на попытки path traversal, запись файлов и обращения к системным путям.
- Ограничить внешний доступ к админским интерфейсам и ненужным портам.
- Проверить права сервисных учетных записей и убрать лишние привилегии.
- Проверить соседние продукты Adobe, включая Campaign Classic.
- Включить мониторинг на новые файлы, изменения в каталогах и странные запросы к веб-серверу.
- Зафиксировать план отката на случай, если обновление затронет рабочие процессы.
Комментарии (0)
Будьте уважительны. Спам и ссылки на сторонние сервисы скрываются модерацией.
Пока комментариев нет. Вы можете быть первым.