CVE-2023-38205

Adobe ColdFusion

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2023-07-20

Официальное описание

Adobe ColdFusion contains an improper access control vulnerability that allows for a security feature bypass.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2023-38205 представляет собой критическую уязвимость обхода механизмов контроля доступа (Improper Access Control) в Adobe ColdFusion. Проблема связана с некорректной логикой фильтрации URL-адресов, что позволяет злоумышленнику обойти ограничения безопасности и получить несанкционированный доступ к защищенным эндпоинтам администрирования.

Данная уязвимость часто используется в цепочке с другими багами (например, для десериализации данных), что в конечном итоге может привести к удаленному выполнению произвольного кода (RCE) без аутентификации. Уязвимость затрагивает версии ColdFusion 2023, 2021 и 2018.

Как исправить

Основным способом устранения является установка официальных обновлений безопасности (Hotfix) от Adobe.

  1. Откройте консоль администратора ColdFusion (ColdFusion Administrator).
  2. Перейдите в раздел Server Update > Updates.
  3. Нажмите Check for Updates.
  4. Скачайте и установите соответствующее обновление в зависимости от вашей версии:
  5. Для ColdFusion 2023: Update 2 или выше.
  6. Для ColdFusion 2021: Update 8 или выше.
  7. Для ColdFusion 2018: Update 18 или выше.

Если автоматическое обновление недоступно, скачайте JAR-файл обновления вручную с сайта Adobe и выполните установку через командную строку от имени администратора:

java -jar hotfix-file-name.jar

После установки патча необходимо перезапустить службу ColdFusion:

net stop "ColdFusion 2021 Application Server"
net start "ColdFusion 2021 Application Server"

Временные меры

Если немедленная установка патча невозможна, необходимо ограничить доступ к административным интерфейсам на сетевом уровне и уровне веб-сервера.

  1. Заблокируйте внешний доступ к директориям /CFIDE/administrator, /cf_scripts и /rest с помощью правил вашего веб-сервера (IIS или Apache).

Пример настройки блокировки для Apache (httpd.conf):

<Location /CFIDE/administrator>
    Order Deny,Allow
    Deny from all
    Allow from 127.0.0.1
</Location>

  1. Настройте IP-фильтрацию в брандмауэре (Firewall), разрешив доступ к порту управления ColdFusion (по умолчанию 8500) только с доверенных IP-адресов администраторов.

  2. Убедитесь, что параметр Required Permission включен для всех критических сервисов в настройках ColdFusion.

  3. Проверьте настройки коннектора (wsconfig) и убедитесь, что внешние запросы к внутренним обработчикам ColdFusion ограничены.

Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей