CVE-2023-26360

Adobe ColdFusion

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2023-03-15

Официальное описание

Adobe ColdFusion contains a deserialization of untrusted data vulnerability that allows for remote code execution.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2023-26360 представляет собой критическую уязвимость типа «десериализация недоверенных данных» (Improper Deserialization) в Adobe ColdFusion. Проблема возникает при обработке входных параметров в формате Action Message Format (AMF). Злоумышленник может отправить специально сформированный HTTP-запрос, который при обработке сервером приведет к выполнению произвольного кода (RCE) или чтению произвольных файлов в контексте учетной записи, под которой запущен сервис ColdFusion. Уязвимость эксплуатируется удаленно без аутентификации.

Как исправить

Основным способом устранения является установка официальных обновлений безопасности от Adobe.

  1. Откройте консоль администратора ColdFusion (ColdFusion Administrator).
  2. Перейдите в раздел Server Update -> Updates.
  3. Нажмите Check for Updates.
  4. Загрузите и установите соответствующее обновление в зависимости от вашей версии:
  5. Для ColdFusion 2021: установите Update 6 или выше.
  6. Для ColdFusion 2018: установите Update 16 или выше.
  7. После установки обновления убедитесь, что версия Java (JRE), используемая ColdFusion, также обновлена до актуальной (рекомендуется Java 11.0.18+ или Java 17.0.6+).

Для ручной установки (если сервер не имеет доступа к интернету): Скачайте JAR-файл обновления с сайта Adobe и выполните команду от имени администратора:

java -jar hotfix-006-330132.jar

Временные меры

Если немедленное обновление невозможно, примените следующие защитные механизмы:

  1. Блокировка доступа к потенциально опасным путям на уровне веб-сервера (IIS или Apache). Ограничьте доступ к директориям, обрабатывающим AMF и CFC:
/CFIDE/administrator
/rest/
/flex2gateway/
/flashservices/gateway
  1. Настройка параметров безопасности в web.xml. Отключите или ограничьте доступ к CFCServlet:
<servlet-mapping>
    <servlet-name>CFCServlet</servlet-name>
    <url-pattern>*.cfc</url-pattern>
</servlet-mapping>

  1. Использование Web Application Firewall (WAF). Настройте правила для фильтрации POST-запросов, содержащих Content-Type application/x-amf, если ваше приложение не использует Flash/Flex интеграции.

  2. Принцип минимальных привилегий. Убедитесь, что служба ColdFusion запущена от имени пользователя с ограниченными правами в системе, а не от имени LocalSystem или root.

Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей