- Автор темы
- #1
Злоумышленники начали эксплуатировать свежую уязвимость в Adobe ColdFusion (CVE-2026-48282) спустя около двух часов после публикации информации о ней. Разработчики исправили эту проблему на прошлой неделе и настоятельно рекомендовали администраторам установить обновления как можно скорее.
Уязвимость CVE-2026-48282 получила максимальные 10 баллов из 10 возможных по шкале CVSS и затрагивает ColdFusion 2025.9, 2023.20 и более ранние версии. Проблема относится к типу path traversal и позволяет неаутентифицированному атакующему записывать произвольные файлы, что в итоге может привести к удаленному выполнению кода.
Основатель KEVIntel Райан Дьюхерст (Ryan Dewhurst) пишет, что эксплуатацию свежего бага зафиксировала глобальная сеть ханипотов компании. Причем первые попытки атак были замечены менее чем через два часа после раскрытия подробностей CVE-2026-48282. К примеру, один запрос пришел с IP-адреса 103.207.14[.]220, и атакующий попытался получить доступ к файлу C:\Windows\win.ini.
Канадский центр кибербезопасности (Canadian Centre for Cyber Security, CCCS) также предупредил, что уязвимость уже используется в атаках, и призвал администраторов немедленно установить патчи.
По данным Shadowserver, в настоящее время в интернете доступны почти 800 инстансов Adobe ColdFusion.
Нужно отметить, что на прошлой неделе в ColdFusion были исправлены сразу восемь уязвимостей, шесть из которых получили максимальные 10 баллов по шкале CVSS: CVE-2026-48276, CVE-2026-48277, CVE-2026-48281, CVE-2026-48282, CVE-2026-48283 и CVE-2026-48316. Эти уязвимости позволяют загружать файлы, обходить каталоги и выполнять произвольный код. Еще две проблемы, CVE-2026-48313 и CVE-2026-48315, набрали по 9,3 балла по шкале CVSS и приводят к чтению произвольных файлов и повышению привилегий.
Как писали исследователи из компании watchTowr, попутно эти обновления устранили ряд других недокументированных проблем, связанных с перемещением и удалением файлов, созданием каталогов и просмотром их содержимого.
Все уязвимости были исправлены в ColdFusion 2023 Update 21 и ColdFusion 2025 Update 10.
Кроме того, одновременно с выпуском патчей для ColdFusion, разработчики устранили проблему CVE-2026-48286 в Adobe Campaign Classic, которая тоже получила оценку 10,0 балла по шкале CVSS. Этот баг был связан с ошибкой авторизации и позволял выполнить произвольный код, затрагивая локальные установки ACC 7.4.3 build 9396 и более ранних версий.
Исправление для CVE-2026-48286 вошло в состав build 9397, а также специалисты Adobe обновили облачные инстансы.
Уязвимость CVE-2026-48282 получила максимальные 10 баллов из 10 возможных по шкале CVSS и затрагивает ColdFusion 2025.9, 2023.20 и более ранние версии. Проблема относится к типу path traversal и позволяет неаутентифицированному атакующему записывать произвольные файлы, что в итоге может привести к удаленному выполнению кода.
Основатель KEVIntel Райан Дьюхерст (Ryan Dewhurst) пишет, что эксплуатацию свежего бага зафиксировала глобальная сеть ханипотов компании. Причем первые попытки атак были замечены менее чем через два часа после раскрытия подробностей CVE-2026-48282. К примеру, один запрос пришел с IP-адреса 103.207.14[.]220, и атакующий попытался получить доступ к файлу C:\Windows\win.ini.
Канадский центр кибербезопасности (Canadian Centre for Cyber Security, CCCS) также предупредил, что уязвимость уже используется в атаках, и призвал администраторов немедленно установить патчи.
По данным Shadowserver, в настоящее время в интернете доступны почти 800 инстансов Adobe ColdFusion.
Нужно отметить, что на прошлой неделе в ColdFusion были исправлены сразу восемь уязвимостей, шесть из которых получили максимальные 10 баллов по шкале CVSS: CVE-2026-48276, CVE-2026-48277, CVE-2026-48281, CVE-2026-48282, CVE-2026-48283 и CVE-2026-48316. Эти уязвимости позволяют загружать файлы, обходить каталоги и выполнять произвольный код. Еще две проблемы, CVE-2026-48313 и CVE-2026-48315, набрали по 9,3 балла по шкале CVSS и приводят к чтению произвольных файлов и повышению привилегий.
Как писали исследователи из компании watchTowr, попутно эти обновления устранили ряд других недокументированных проблем, связанных с перемещением и удалением файлов, созданием каталогов и просмотром их содержимого.
Все уязвимости были исправлены в ColdFusion 2023 Update 21 и ColdFusion 2025 Update 10.
Кроме того, одновременно с выпуском патчей для ColdFusion, разработчики устранили проблему CVE-2026-48286 в Adobe Campaign Classic, которая тоже получила оценку 10,0 балла по шкале CVSS. Этот баг был связан с ошибкой авторизации и позволял выполнить произвольный код, затрагивая локальные установки ACC 7.4.3 build 9396 и более ранних версий.
Исправление для CVE-2026-48286 вошло в состав build 9397, а также специалисты Adobe обновили облачные инстансы.
