Эксперты UserGate uFactor предупреждают: в одном из решений Adobe обнаружена уязвимость с максимальной оценкой опасности

09.07.2026

Эксперты центра мониторинга и реагирования на киберугрозы UserGate uFactor предупреждают: в продукте популярной зарубежной компании Adobe — Adobe ColdFusion — обнаружена уязвимость, которую оценили по максимальному значению 10 баллов по шкале CVSS v3.1.

UserGate.png

Adobe ColdFusion — это коммерческая платформа и язык программирования (CFML), созданные для быстрой разработки и развёртывания масштабируемых веб- и мобильных приложений. Основная задача — упростить интеграцию серверной логики, баз данных и создание динамических веб‑страниц. Платформа наиболее популярна в зарубежных банках, государственных учреждениях и крупных компаниях и используется для создания надёжных бизнес‑систем.

Из‑за отсутствия проверок безопасности любой злоумышленник из интернета (без пароля и логина) может обратиться к серверу и заставить его прочитать, изменить или удалить абсолютно любые файлы в операционной системе. Это позволяет хакеру загрузить вредоносный код на сервер и получить полный контроль над машиной (RCE).

«В связи с тем, что данная уязвимость уже внесена в каталог используемых уязвимостей и получила широкую огласку в зарубежном сегменте сети Интернет, необходимо срочно обновить Adobe ColdFusion 2025 до 10‑й версии, а если используется Adobe ColdFusion 2023, то провести обновление до 21‑й версии. Если обновление невозможно провести, то рекомендуется отключить RDS (сервис удалённого управления файлами и базами данных), заблокировать внешний доступ к консоли управления (например, CFIDE/administrator) и другим интерфейсам управления ColdFusion. Также рекомендуется настроить WAF (межсетевой экран следующего поколения для защиты веб‑приложений) для детектирования атаки на RDS. Если же вы уже подозреваете, что ваш сервер был скомпрометирован, то необходимо срочно остановить его работу, изолировать, изучить журналы событий безопасности, найти и удалить WebShells (вредоносные скрипты на веб‑сервере), развёрнутые злоумышленниками, сменить все пароли и ключи», — поясняет Дмитрий Овчинников, архитектор информационной безопасности UserGate uFactor.



Компания-источник: UserGate