Критически опасная уязвимость в Adobe ColdFusion, позволяющая получить доступ к произвольным файлам: CVE-2026-48282
Описание
Уязвимость позволяет читать и записывать произвольные локальные файлы (arbitrary file access) на сервере ColdFusion через интерфейс /CFIDE/main/ide.cfm. Для эксплуатации уязвимости не требуются прохождение аутентификации и взаимодействие пользователя.
Компонент Remote Development Services, отвечающий за операции с файловой системой, не обеспечивает достаточную проверку путей, что позволяет получить доступ к файлам за пределами разрешенных папок.
Успешная эксплуатация уязвимости может привести к раскрытию чувствительных данных или удаленному исполнению кода.
Рейтинг
Уязвимость получила оценку 10 по рейтингу CVSS 3.1.
Уязвимые версии и продукты
-
Adobe ColdFusion версии 2025.9 и ниже;
-
Adobe ColdFusion версии 2023.20 и ниже.
Рекомендации
Специалисты центра мониторинга и реагирования на киберугрозы UserGate uFactor рекомендуют пользователям выполнить следующие действия:
-
обновить ПО до версий 2025.10 или 2023.21;
-
ограничить доступ к сервису ColdFusion RDS;
-
проверить наличие новых файлов с расширениями .cfm, .cfc, .cfml;
-
проверить актуальность подписки на модуль Security Updates;
- добавить в блокирующее правило IDPS сигнатуру Adobe ColdFusion RDS RCE.
За дополнительной информацией обращайтесь к нашим специалистам: ufactor@usergate.com.