CVE-2023-29300

Adobe ColdFusion

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2024-01-08

Официальное описание

Adobe ColdFusion contains a deserialization of untrusted data vulnerability that allows for code execution.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2023-29300 представляет собой критическую уязвимость типа «десериализация недоверенных данных» в Adobe ColdFusion. Проблема возникает из-за некорректной обработки входных данных в библиотеке WDDX (Web Distributed Data eXchange). Злоумышленник может отправить специально сформированный HTTP-запрос, содержащий вредоносный сериализованный объект. При попытке сервера десериализовать этот объект происходит выполнение произвольного кода (RCE) в контексте безопасности службы ColdFusion. Уязвимость позволяет полностью скомпрометировать сервер без аутентификации.

Как исправить

Основным способом устранения уязвимости является установка официальных обновлений безопасности от Adobe.

  1. Откройте консоль администратора ColdFusion (ColdFusion Administrator).
  2. Перейдите в раздел Server Update -> Updates.
  3. Нажмите Check for Updates.
  4. Установите соответствующее обновление в зависимости от вашей версии:
  5. Для ColdFusion 2023: установите Update 1 или выше.
  6. Для ColdFusion 2021: установите Update 7 или выше.
  7. Для ColdFusion 2018: установите Update 17 или выше.

Для ручной установки (если сервер не имеет доступа к интернету) скачайте JAR-файл обновления с сайта Adobe и выполните команду от имени администратора:

java -jar hotfix-001-330245.jar

После установки обновления необходимо перезапустить службу ColdFusion:

Restart-Service -Name "ColdFusion 2023 Application Server"

Временные меры

Если немедленное обновление невозможно, примените следующие защитные меры для снижения риска:

  1. Заблокируйте доступ к пакету com.adobe.coldfusion.wddx через настройки безопасности JVM, добавив соответствующие параметры в jvm.config.

  2. Ограничьте доступ к административной панели ColdFusion (/CFIDE/administrator) на уровне веб-сервера (IIS или Apache), разрешив доступ только с доверенных IP-адресов.

  3. Настройте правила WAF (Web Application Firewall) для блокировки запросов, содержащих теги <wddxPacket> в теле сообщения.

  4. Обновите версию Java JRE/JDK до последней поддерживаемой, так как новые версии содержат дополнительные механизмы защиты от десериализации:

./ColdFusion/jre/bin/java -version
  1. Убедитесь, что служба ColdFusion запущена от имени пользователя с минимальными привилегиями в системе, а не от имени LocalSystem или root.
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей