CVE-2018-15961
Adobe ColdFusion
2021-11-03
Adobe ColdFusion contains an unrestricted file upload vulnerability that could allow for code execution.
Технический анализ и план устранения
Суть уязвимости
Уязвимость (CWE-434) в Adobe ColdFusion позволяет злоумышленнику загрузить произвольный файл (например, вредоносный JSP-скрипт) на сервер через уязвимый компонент. Это приводит к выполнению кода на сервере с правами учетной записи, под которой работает ColdFusion, и полному компрометированию системы.
Как исправить
Установите официальный патч от Adobe, обновив ColdFusion до версии, в которой уязвимость устранена.
- Для ColdFusion 2018: Обновитесь до обновления 2 или новее.
- Для ColdFusion 2016: Обновитесь до обновления 7 или новее.
- Для ColdFusion 11: Обновитесь до обновления 14 или новее.
Процедура обновления (общий случай):
1. Создайте полную резервную копию сервера и каталога cfusion.
2. Скачайте установщик обновления (Update Installer) с официального портала Adobe.
3. Остановите сервер ColdFusion и веб-сервер (Apache/IIS).
4. Запустите установщик обновления и следуйте инструкциям.
# Пример остановки службы ColdFusion на Linux (имя службы может отличаться)
sudo systemctl stop coldfusion
После установки обновления перезапустите серверы и убедитесь, что версия изменилась в административной панели (/CFIDE/administrator).
Временное решение
Если немедленное обновление невозможно, примените следующие меры:
-
Ограничьте доступ к административной панели (CFIDE):
- Настройте веб-сервер (Apache/Nginx/IIS) на блокировку или ограничение доступа ко всем URL, содержащим
/CFIDE. Разрешите доступ только с доверенных IP-адресов администраторов. - Пример для Nginx:
nginx location ~ /CFIDE { deny all; # или allow 192.168.1.0/24; deny all; }
- Настройте веб-сервер (Apache/Nginx/IIS) на блокировку или ограничение доступа ко всем URL, содержащим
-
Настройте правила WAF:
- Активируйте правила, блокирующие HTTP-запросы с подозрительными заголовками
Content-Type(например, неimage/jpeg,image/png) при загрузке файлов. - Блокируйте запросы к известным уязвимым конечным точкам (например,
/CFIDE/fileupload.cfm).
- Активируйте правила, блокирующие HTTP-запросы с подозрительными заголовками
-
Ужесточите права доступа к файловой системе:
- Убедитесь, что учетная запись, от которой работает ColdFusion, имеет минимально необходимые права на запись только в специально выделенные каталоги для загрузок. Запретите выполнение скриптов в этих каталогах.
- Пример для Linux (отключение выполнения):
bash chmod -R 0755 /path/to/upload/directory/ find /path/to/upload/directory/ -type f -name "*.jsp" -exec chmod -x {} \;
Важно: Временные решения лишь снижают риск. Полное устранение уязвимости возможно только путем установки официального патча.