Критически опасная уязвимость в Adobe ColdFusion, позволяющая получить доступ к произвольным файлам: CVE-2026-48282

08.07.2026
08.07.2026

Описание

Уязвимость позволяет читать и записывать произвольные локальные файлы (arbitrary file access) на сервере ColdFusion через интерфейс /CFIDE/main/ide.cfm. Для эксплуатации уязвимости не требуются прохождение аутентификации и взаимодействие пользователя.

Компонент Remote Development Services, отвечающий за операции с файловой системой, не обеспечивает достаточную проверку путей, что позволяет получить доступ к файлам за пределами разрешенных папок.

Успешная эксплуатация уязвимости может привести к раскрытию чувствительных данных или удаленному исполнению кода.

Рейтинг

Уязвимость получила оценку 10 по рейтингу CVSS 3.1.

Уязвимые версии и продукты

  • Adobe ColdFusion версии 2025.9 и ниже;

  • Adobe ColdFusion версии 2023.20 и ниже.

Рекомендации

Специалисты центра мониторинга и реагирования на киберугрозы UserGate uFactor рекомендуют пользователям выполнить следующие действия:

  • обновить ПО до версий 2025.10 или 2023.21;

  • ограничить доступ к сервису ColdFusion RDS;

  • проверить наличие новых файлов с расширениями .cfm, .cfc, .cfml;

  • проверить актуальность подписки на модуль Security Updates;

  • добавить в блокирующее правило IDPS сигнатуру Adobe ColdFusion RDS RCE.

За дополнительной информацией обращайтесь к нашим специалистам: ufactor@usergate.com.

За дополнительной информацией обращайтесь к нашим специалистам ufactor@usergate.com

Наш сайт использует cookies. С условиями использования cookies ознакомьтесь в Политике обработки персональных данных.