Adobe łata krytyczne luki CVSS 10.0 w ColdFusion i Campaign Classic - Security Bez Tabu

Adobe łata krytyczne luki CVSS 10.0 w ColdFusion i Campaign Classic

Cybersecurity news

Wprowadzenie do problemu / definicja

Adobe opublikowało pilne aktualizacje bezpieczeństwa dla dwóch szeroko wykorzystywanych produktów enterprise: ColdFusion oraz Adobe Campaign Classic. Poprawki usuwają wiele podatności o krytycznym znaczeniu, w tym siedem luk ocenionych na maksymalne CVSS 10.0. Najpoważniejsze błędy mogą prowadzić do zdalnego wykonania kodu bez uwierzytelnienia, co oznacza bardzo wysoki poziom ryzyka dla wszystkich niezałatanych instancji.

Problem dotyczy szczególnie środowisk, w których aplikacje biznesowe są publicznie dostępne lub działają w modelu legacy, bez pełnej segmentacji sieci i z opóźnionym cyklem aktualizacji. W takich przypadkach czas między publikacją poprawek a próbami wykorzystania luk przez atakujących bywa bardzo krótki.

W skrócie

Adobe usunęło krytyczne podatności w ColdFusion 2023 i ColdFusion 2025 oraz w Adobe Campaign Classic v7. Wśród załatanych błędów znalazły się luki związane z nieograniczonym uploadem niebezpiecznych plików, błędną walidacją danych wejściowych, path traversal, SSRF, XSS oraz eskalacją uprawnień.

  • ColdFusion 2025: bezpieczna wersja to Update 10.
  • ColdFusion 2023: bezpieczna wersja to Update 21.
  • Adobe Campaign Classic v7: poprawka została dostarczona w buildzie 9397.
  • Najwyższe ryzyko dotyczy błędów umożliwiających zdalne wykonanie kodu bez uwierzytelnienia.
  • Adobe poinformowało, że w chwili publikacji nie odnotowano aktywnej eksploatacji tych luk.

Kontekst / historia

ColdFusion od lat pozostaje atrakcyjnym celem dla cyberprzestępców, ponieważ jest obecny w wielu aplikacjach biznesowych, portalach intranetowych i systemach utrzymywanych od dłuższego czasu. Takie wdrożenia często mają rozbudowane integracje, dostęp do baz danych i poświadczeń aplikacyjnych, a ich modernizacja bywa odkładana ze względu na znaczenie operacyjne.

W najnowszym biuletynie Adobe wskazało, że poprawki obejmują zarówno luki prowadzące do wykonania kodu, jak i podatności pozwalające na odczyt plików systemowych, obejście mechanizmów bezpieczeństwa oraz podniesienie uprawnień. Taki zestaw błędów jest szczególnie groźny, ponieważ umożliwia łączenie kilku technik w jeden skuteczny łańcuch ataku.

Równolegle producent załatał także krytyczną lukę w Adobe Campaign Classic, platformie wykorzystywanej do automatyzacji komunikacji marketingowej i zarządzania kampaniami. W praktyce oznacza to ryzyko dla systemów obsługujących dane klientów, workflow kampanii, integracje z CRM oraz komponenty wdrożone lokalnie.

Szerszy kontekst obejmuje również zmianę polityki publikacji biuletynów bezpieczeństwa przez Adobe. Firma zapowiedziała przejście z cyklu miesięcznego na model publikacji dwa razy w miesiącu, wskazując na rosnące tempo wykrywania podatności oraz skracający się czas między ujawnieniem błędu a próbami jego wykorzystania.

Analiza techniczna

Najważniejsze poprawki dla ColdFusion obejmują wersje 2025 Update 9 i starsze oraz 2023 Update 20 i starsze. Zalecane wydania naprawcze to ColdFusion 2025 Update 10 oraz ColdFusion 2023 Update 21.

Wśród najgroźniejszych podatności w ColdFusion znalazły się błędy umożliwiające przejęcie serwera aplikacyjnego przez sieć. Dotyczą one między innymi uploadu niebezpiecznych plików, nieprawidłowej walidacji danych wejściowych oraz path traversal.

  • CVE-2026-48276 i CVE-2026-48283 – nieograniczony upload plików prowadzący do zdalnego wykonania kodu.
  • CVE-2026-48277, CVE-2026-48281 i CVE-2026-48316 – błędy walidacji danych wejściowych umożliwiające wykonanie kodu.
  • CVE-2026-48282 – path traversal prowadzący do wykonania kodu.
  • CVE-2026-48313 – path traversal skutkujący odczytem plików systemowych.
  • CVE-2026-48315 – błąd walidacji umożliwiający eskalację uprawnień.
  • CVE-2026-48285 – SSRF pozwalający na obejście mechanizmów bezpieczeństwa.
  • CVE-2026-48307 – luka XSS, która w określonych warunkach może wspierać dalszą eksploatację.

Z perspektywy obronnej szczególnie niebezpieczne jest współwystępowanie kilku klas luk w jednym produkcie. Atakujący może najpierw uzyskać wykonanie kodu, następnie odczytać pliki konfiguracyjne, przejąć poświadczenia lub zwiększyć poziom dostępu. W środowisku ColdFusion może to oznaczać kompromitację datasource’ów, kluczy integracyjnych, kont serwisowych oraz dalszy ruch boczny do innych systemów.

W przypadku Adobe Campaign Classic luka CVE-2026-48286 otrzymała ocenę CVSS 10.0. Jest to błąd typu incorrect authorization, który może prowadzić do zdalnego wykonania kodu. Problem dotyczy wdrożeń ACC v7 w wersji 7.4.3 build 9396 i wcześniejszych dla systemów Windows oraz Linux, a poprawka została opublikowana w buildzie 9397.

Istotne jest również to, że podatność w Adobe Campaign Classic dotyczy wyłącznie instancji on-premise oraz lokalnych komponentów w modelach hybrydowych. Instancje hostowane przez Adobe zostały zaktualizowane przez producenta. Adobe zaleca ponadto dodatkowy hardening ColdFusion, w tym korzystanie z aktualnych wersji JDK/JRE oraz właściwą konfigurację serial filter dla instalacji JEE.

Konsekwencje / ryzyko

Dla organizacji korzystających z ColdFusion poziom ryzyka należy ocenić jako wysoki do krytycznego. Luki z wektorem sieciowym, niską złożonością ataku i brakiem wymagań dotyczących uwierzytelnienia znacząco ułatwiają ich praktyczne wykorzystanie. Jeżeli serwer jest wystawiony do internetu, ekspozycja po publikacji biuletynu może szybko przełożyć się na realne próby włamania.

  • pełne przejęcie serwera aplikacyjnego,
  • kradzież danych z systemu plików i źródeł danych,
  • wdrożenie web shelli i utrzymanie persystencji,
  • wykorzystanie serwera do dalszych ataków wewnątrz sieci,
  • zakłócenie działania aplikacji biznesowych,
  • naruszenie poufności danych klientów i danych operacyjnych.

W Adobe Campaign Classic stawka jest równie wysoka, ponieważ platforma często obsługuje dane kontaktowe, harmonogramy kampanii, integracje z CRM i mechanizmy wysyłkowe. Kompromitacja lokalnej instancji może doprowadzić nie tylko do incydentu bezpieczeństwa, ale również do zakłócenia procesów marketing automation, utraty integralności komunikacji i wtórnych nadużyć z wykorzystaniem przejętego systemu.

Rekomendacje

Organizacje korzystające z Adobe ColdFusion i Adobe Campaign Classic powinny potraktować te poprawki priorytetowo i wdrożyć działania ograniczające ryzyko w trybie pilnym.

  • Zaktualizować ColdFusion 2025 do Update 10 oraz ColdFusion 2023 do Update 21.
  • Zaktualizować Adobe Campaign Classic v7 do builda 9397, jeśli środowisko działa lokalnie lub hybrydowo z komponentami on-premise.
  • Zweryfikować, czy konsole administracyjne i interfejsy zarządzania nie są bezpośrednio wystawione do internetu.
  • Przeprowadzić analizę logów HTTP, aplikacyjnych i systemowych pod kątem prób uploadu plików, anomalii w żądaniach oraz oznak path traversal.
  • Poszukać artefaktów kompromitacji, takich jak web shelle, nieautoryzowane konta, zmiany w harmonogramach zadań i nietypowe połączenia wychodzące.
  • Wdrożyć dodatkowy hardening ColdFusion, w tym aktualne JDK/JRE, ustawienia serial filter oraz konfiguracje lockdown.
  • Ograniczyć komunikację sieciową serwerów aplikacyjnych do niezbędnych kierunków, aby zmniejszyć skutki SSRF i ruchu bocznego.
  • Przygotować procedurę szybkiego testowania i wdrażania przyszłych biuletynów Adobe.
  • Upewnić się, że kopie zapasowe konfiguracji i danych są aktualne i możliwe do odtworzenia.
  • Włączyć monitoring IOC oraz detekcję zachowań związanych z RCE, odczytem poufnych plików i eskalacją uprawnień.

Podsumowanie

Najnowszy pakiet poprawek Adobe obejmuje podatności o bardzo dużym ciężarze operacyjnym, zwłaszcza w ColdFusion, gdzie wiele błędów może prowadzić do zdalnego wykonania kodu bez uwierzytelnienia. Krytyczna luka w Adobe Campaign Classic dodatkowo zwiększa presję na administratorów środowisk lokalnych i hybrydowych.

Choć producent nie potwierdził aktywnej eksploatacji w momencie publikacji biuletynów, takie okno bezpieczeństwa zwykle nie trwa długo. W praktyce oznacza to konieczność niezwłocznego patchowania, przeglądu logów, weryfikacji ekspozycji usług oraz wzmocnienia konfiguracji całego środowiska.

Źródła

  1. The Hacker News — Adobe Patches 7 CVSS 10.0 Flaws in ColdFusion and Campaign Classic
  2. Adobe Security Bulletin — Security update available for Adobe ColdFusion | APSB26-68
  3. Adobe Security Bulletin — Security updates available for Adobe Campaign Classic | APSB26-69
  4. Adobe Blog — Protecting customers faster: How Adobe is responding to AI-accelerated vulnerability discovery