CVE-2023-26359

Adobe ColdFusion

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2023-08-21

Официальное описание

Adobe ColdFusion contains a deserialization of untrusted data vulnerability that could result in code execution in the context of the current user.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2023-26359 представляет собой критическую уязвимость в Adobe ColdFusion, связанную с небезопасной десериализацией входных данных (Insecure Deserialization). Проблема возникает из-за недостаточной проверки объектов, передаваемых в HTTP-запросах. Злоумышленник может отправить специально сформированный сериализованный объект, который при обработке сервером приведет к выполнению произвольного кода (RCE) в контексте текущего пользователя, под которым запущен сервис ColdFusion. Уязвимость затрагивает версии ColdFusion 2018 (Update 15 и ниже) и ColdFusion 2021 (Update 5 и ниже).

Как исправить

Основным способом устранения уязвимости является установка официальных обновлений безопасности от Adobe.

  1. Откройте консоль администратора ColdFusion (ColdFusion Administrator).
  2. Перейдите в раздел "Server Update" -> "Updates".
  3. Нажмите "Check for Updates".
  4. Установите соответствующие обновления:
  5. Для ColdFusion 2021: установите Update 6 или выше.
  6. Для ColdFusion 2018: установите Update 16 или выше.

Если автоматическое обновление недоступно, скачайте JAR-файл обновления вручную с сайта Adobe и выполните установку через командную строку от имени администратора:

Для Windows:

java -jar hotfix-006-330132.jar

Для Linux:

java -jar hotfix-006-330132.jar

После установки обновления необходимо перезапустить службу ColdFusion:

Для Windows:

Restart-Service -Name "ColdFusion 2021 Application Server"

Для Linux:

sudo systemctl restart coldfusion2021

Временные меры

Если немедленное обновление системы невозможно, примените следующие защитные меры для снижения риска эксплуатации:

  1. Ограничьте доступ к административной панели ColdFusion (/cfide/administrator), разрешив его только с доверенных IP-адресов или через VPN.

  2. Настройте правила на Web Application Firewall (WAF) для блокировки подозрительных POST-запросов, содержащих сериализованные Java-объекты (ищите сигнатуры в заголовках или теле запроса, характерные для Java-десериализации, например, aced 00 05).

  3. Убедитесь, что служба ColdFusion запущена от имени пользователя с минимальными привилегиями в системе (Least Privilege Principle), чтобы ограничить ущерб в случае успешного взлома.

  4. Включите и настройте фильтрацию десериализации на уровне JVM, добавив параметры в конфигурационный файл jvm.config:

-Djdk.serialFilter=!*

(Примечание: данная мера может нарушить работу легитимных функций приложения, требующих десериализации, поэтому требует предварительного тестирования).

Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей