Новости 10 "критических" и путь к чужим файлам. Что нашли в свежем патче Adobe ColdFusion

NewsMaker

I'm just a script
Премиум
28,171
46
8 Ноя 2022
Почему администраторам ColdFusion нельзя тянуть с обновлением.

<div class="articl-text-cover" style="position:relative;width:100%;max-width:800px;margin-left:auto;margin-right:auto;aspect-ratio:800/450;margin-bottom:2rem;overflow:hidden">
onlfl503w6iw55al65zp07f12fl8tzmf.jpg

В свежем обновлении Adobe закрыла набор опасных уязвимостей, часть которых могла позволить выполнить код на сервере.

Проблемы затрагивают Adobe ColdFusion 2025 до обновления 9 включительно и ColdFusion 2023 до обновления 20 включительно. В бюллетене APSB26-68 компания перечислила несколько уязвимостей с идентификаторами CVE-2026-48276 (10.0 Critical), CVE-2026-48277 (10.0 Critical), CVE-2026-48281 (10.0 Critical), CVE-2026-48316 (10.0 Critical), CVE-2026-48282 (10.0 Critical), CVE-2026-48283 (10.0 Critical), CVE-2026-48307 (8.8 Critical), CVE-2026-48313 (9.3 Critical), CVE-2026-48315 (9.3 Critical), CVE-2026-48285 (8.6 Critical) и CVE-2026-48314 (6.5 Medium). Часть ошибок позволяла выполнить произвольный код, читать файлы, повышать привилегии или обходить защитные механизмы.

Специалисты watchTowr Labs подробно разобрали исправления и обратили внимание на модуль RDS, который в ColdFusion используют для удалённой разработки. Через него среда разработки может обращаться к работающему серверу ColdFusion, просматривать файлы, выполнять запросы к базам данных и помогать с отладкой. По умолчанию RDS отключён, а для описанной атаки, по данным watchTowr, модуль должен быть включён, причём без проверки подлинности.

Самая опасная часть связана с тем, как обрабатывались файловые операции. До исправления ColdFusion принимал путь к файлу и передавал его дальше без достаточной проверки. Из-за этого злоумышленник мог обратиться к чужим каталогам на сервере, прочитать произвольный файл или записать новый файл в выбранное место. После обновления Adobe стала канонически проверять путь, блокируя абсолютные пути, переходы в родительские каталоги и попытки выйти за разрешённую область.

Возможность записать файл превращала ошибку из утечки данных в способ удалённо выполнить код. Если атакующий мог поместить файл в веб-каталог ColdFusion, сервер затем выполнял созданный файл как часть приложения. По оценке watchTowr, возможность произвольно записать файл, вероятно, получила идентификатор CVE-2026-48282, а возможность произвольно прочитать файл – CVE-2026-48313, хотя специалисты отдельно оговорили, что Adobe не всегда однозначно связывает исправленные участки кода с конкретными CVE.

Отдельный блок проблем специалисты нашли в файловом менеджере CKEditor, который входит в состав ColdFusion. В исправленной версии Adobe запретила дополнительные расширения файлов и стала проверять путь при загрузке. Уязвимая функция тоже отключена по умолчанию, но если её включали вручную, загрузчик, по данным watchTowr, мог быть доступен без проверки подлинности. В таком случае атакующий мог передать путь, выходящий за пределы разрешённого каталога, и записать файл в другое место на сервере.

Ещё одна закрытая ошибка позволяла просматривать содержимое каталогов через файловый менеджер CKEditor. Кроме того, watchTowr заметила признаки того, что изменилась обработка отдельных тегов ColdFusion, связанных с загрузкой файлов, почтой, веб-сокетами, внешними ресурсами и преобразованием данных. Для эксплуатации таких проблем уже требовалось, чтобы на сервере существовала собственная страница ColdFusion с уязвимым кодом и пользовательским вводом.

Adobe уже выпустила обновления , поэтому администраторам ColdFusion стоит как можно быстрее установить свежие версии и отдельно проверить, не включены ли RDS, загрузка файлов и файловый менеджер там, где они не нужны. В случае с такими компонентами даже редкая настройка может стать критичной, если сервер доступен из интернета.
 
Источник новости
www.securitylab.ru

Похожие темы