На предпоследнем проекте мне попался ColdFusion 2021 за nginx reverse proxy - внутренний портал кадрового учёта банка, про который "забыли" при миграции на новый стек. Три часа от
/CFIDE/administrator/ в nmap-выводе до загрузки CFML-webshell. Сервер не обновлялся больше года, а за это время Adobe закрыла больше десятка дыр с CVSS 10.0. И нет, это не legacy-хлам из нулевых - это рабочие серверы финансовых организаций и enterprise-компаний, где ColdFusion тянет на себе критичные бизнес-процессы.Ниже - разбор конкретных CVE и техник их эксплуатации: от recon до получения RCE, с MITRE ATT&CK маппингом, предусловиями каждой техники и чеклистом hardening.
Бизнес-логика атаки: зачем ломать ColdFusion
ColdFusion крутится на JVM и обычно работает с привилегиями сервисного аккаунта, у которого доступ к файловой системе, базам данных и внутренней сети. Компрометация ColdFusion-сервера даёт атакующему:- Arbitrary file read - конфигурационные файлы с учётными данными БД, API-ключами, LDAP-паролями. По MITRE ATT&CK это Credentials In Files (T1552.001, Credential Access)
- Webshell deployment - персистентный доступ через CFML-файлы, которые не вызывают подозрений у стандартных антивирусных движков. Это Web Shell (T1505.003, Persistence)
- Lateral movement - через украденные credentials или прямое сетевое взаимодействие с внутренними сервисами
По категоризации OWASP, рассматриваемые уязвимости ColdFusion попадают в A01 (Broken Access Control) и A08 (Software and Data Integrity Failures) - две из трёх самых частых категорий в enterprise-приложениях.
Fingerprinting ColdFusion в периметре
ColdFusion оставляет характерные следы, которые видны ещё до отправки запросов к цели.
Shodan-запросы для пассивного recon:
Код:
http.title:"ColdFusion Administrator"
http.favicon.hash:-1315857455
http.html:"/CFIDE/"
CFID и CFTOKEN (специфичны для ColdFusion), пути /CFIDE/administrator/, /CFIDE/adminapi/, /CFIDE/scripts/, расширения .cfm и .cfc в URL. Заголовок Server: ColdFusion тоже попадается, если его не убрали при hardening.Для определения точной версии - запрос к
/CFIDE/adminapi/base.cfc?wsdl возвращает WSDL-описание, где в namespace может торчать номер версии. Страница /CFIDE/administrator/index.cfm показывает форму логина администратора, если эндпоинт не закрыт.Ограничения fingerprinting: reverse proxy (nginx, Apache) перед ColdFusion способен скрывать характерные заголовки и пути. В таком случае ищите косвенные признаки - Java-стектрейсы в ответах 500, специфичные
form action в HTML, наличие WDDX-структур в теле ответов.Карта CVE: от path traversal до десериализации
ColdFusion накопил внушительную историю уязвимостей с подтверждённой эксплуатацией in the wild. Ниже - ключевые, ранжированные по EPSS (вероятность эксплуатации в ближайшие 30 дней по данным FIRST.org):| CVE | CVSS | Severity | CWE | EPSS score | EPSS percentile | KEV |
|---|---|---|---|---|---|---|
| CVE-2024-20767 | 7.4 | High | CWE-284 | 0.9851 | 99.91% (Top 1%) | Да |
| CVE-2023-26360 | 8.6 | High | CWE-284 | 0.9734 | ~99% (Top 1%) | Да |
| CVE-2026-48282 | 10.0 | Critical | CWE-22 | 0.2858 | 97.92% (Top 3%) | Да |
| CVE-2024-53961 | 8.1 | High | CWE-22 | 0.1340 | 95.99% (Top 5%) | Нет |
| CVE-2026-48313 | 9.3 | Critical | CWE-22 | 0.0158 | - | Нет |
| CVE-2026-48276 | 10.0 | Critical | CWE-434 | 0.0092 | - | Нет |
Все три CVE из CISA KEV сидят в Top 5% по EPSS. Это не теоретические угрозы - это активно эксплуатируемые вектора.
По анализу исследователей, проблема предположительно связана с обработкой файловых операций (конкретный уязвимый компонент не указан в NVD advisory). Пользовательский ввод обрабатывается без каноникализации пути, без проверки выхода за корневой каталог и без фильтрации последовательностей
../ (CWE-22, Path Traversal).CVSS-вектор: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H. Расшифровка: атака по сети (AV:N), низкая сложность (AC:L), аутентификация не нужна (PR:N), действия пользователя не нужны (UI:N), scope изменён (S:C) - влияние выходит за пределы уязвимого компонента. Полное влияние на конфиденциальность, целостность и доступность.
Результат - arbitrary code execution (согласно NVD). Предполагаемый вектор эксплуатации на основе патч-анализа: path traversal используется как file write primitive, после чего CFML-файл в web root даёт неаутентифицированное RCE с правами сервисного аккаунта ColdFusion.
Таймлайн оружеизации:
- 30 июня 2026 - Adobe выпускает патч (APSB26-68), закрывая 11 уязвимостей, из них шесть с CVSS 10.0
- 2 июля 2026 - исследователи публикуют анализ патча (patch diff)
- Менее чем через 2 часа - по имеющимся данным, зафиксированы первые попытки эксплуатации (конкретные IoC требуют проверки источника)
- 7 июля 2026 - CISA добавляет CVE в KEV Catalog с решением "Act" (Exploitation: active, Automatable: yes, Technical Impact: total)
Затронутые версии: ColdFusion 2025 Update 9 и ранее, ColdFusion 2023 Update 20 и ранее.
Предусловия: точный уязвимый компонент не указан в NVD advisory; предположительно, эксплуатация связана с RDS (RDSServlet), но официально это не подтверждено. Не работает если: применён патч APSB26-68, WAF с кастомными правилами инспектирует нестандартные протоколы. Тут есть нюанс: стандартные WAF не разбирают тело бинарных RDS-запросов - path traversal-сигнатуры (
../, ..%2f) срабатывают только на URL-уровне.В том же обновлении APSB26-68 закрыты CVE-2026-48276 и CVE-2026-48283 (оба CWE-434, Unrestricted Upload of File with Dangerous Type, CVSS 10.0), а также CVE-2026-48277, CVE-2026-48281 и CVE-2026-48316 (все CWE-20, Improper Input Validation, CVSS 10.0). Шесть уязвимостей с максимальным рейтингом в одном обновлении - такой плотности critical-багов для одного продукта я не припомню.
EPSS 0.9851 - Top 1%, одна из наиболее активно эксплуатируемых ColdFusion-уязвимостей.
Предусловия (критичные): admin panel должна быть доступна через интернет. NVD прямо указывает: "Exploitation of this issue requires the admin panel be exposed to the internet.""Для использования этой уязвимости необходимо, чтобы административная панель была доступна из интернета." Отсюда AC:H (высокая сложность) в CVSS-векторе - не потому, что эксплойт сложный, а потому что нужно конкретное условие среды. По той же причине AC:H присвоен и CVE-2024-53961 - обе требуют доступности admin panel.
Большинство атакующих использовали DigitalOcean Droplets, которые были быстро заблокированы хостером.
Что можно вытянуть при успешной эксплуатации:
neo-security.xml- хеши паролей администратора ColdFusionneo-datasource.xml- строки подключения к БД, включая паролиpassword.properties- seed для расшифровки Data Source паролейweb.xml- конфигурация сервлетов, полезна для планирования следующего шага
CVE-2024-53961 (CVSS 8.1, High, CWE-22) - похожая история: path traversal. NVD-описание указывает на arbitrary file system read, но CVSS-вектор (C:H/I:H/A:H) предполагает влияние и на целостность и доступность - расхождение между описанием и вектором стоит уточнить у NVD/Adobe. Тоже требует доступности admin panel. По неподтверждённым данным, PoC-код для неё мог быть доступен, что делало патчирование приоритетным. EPSS 0.1340 (Top 5%).
CISA KEV описывает её как "Deserialization of Untrusted Data Vulnerability" - налицо расхождение классификаций: NVD-вектор указывает влияние только на конфиденциальность (I:N/A:N), тогда как CISA и NVD-описание упоминают arbitrary code execution. В CISA KEV с марта 2023 года. По данным inthewild.io, активная эксплуатация продолжается более 1220 дней.
Severity - High (CVSS 8.6), не Critical. Вектор CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:N/A:N указывает на влияние только на конфиденциальность (I:N, A:N), что противоречит упоминанию arbitrary code execution в NVD-описании. Аутентификация не требуется.
Затронутые версии: ColdFusion 2018 Update 15 и ранее, ColdFusion 2021 Update 5 и ранее. Nuclei-шаблон:
http/cves/2023/CVE-2023-26360.yaml.Рождественская кампания 2025 года включала эксплуатацию CVE-2023-26360 в связке с другими CVE: атакующие циклически перебирали вектора с интервалом 1-5 секунд, используя JNDI/LDAP injection, предположительно цепованную через WDDX-десериализацию. Для подтверждения уязвимости хостов применялись OAST-коллбэки через Interactsh (ProjectDiscovery) - легитимный инструмент для OOB-верификации, который затрудняет обнаружение по network-артефактам.
Цепочка эксплуатации и место в kill chain
Типичная атака на ColdFusion укладывается в такую последовательность MITRE ATT&CK:
- Recon - Shodan/nuclei, обнаружение
/CFIDE/эндпоинтов, определение версии - Exploit Public-Facing Application (T1190, Initial Access) - применение одного из CVE
- Credentials In Files (T1552.001, Credential Access) - извлечение конфигурационных файлов через file read
- Web Shell (T1505.003, Persistence) - загрузка CFML-webshell через file write
- Windows Command Shell (T1059.003, Execution) - выполнение команд от имени сервисного аккаунта
- Ingress Tool Transfer (T1105, C2) - загрузка tunneling-инструментов или C2-агентов
- Exploitation for Privilege Escalation (T1068) - при необходимости повышение привилегий
| Условие | Вектор | Результат |
|---|---|---|
| CF 2025.9 или CF 2023.20 и ранее (предположительно, RDS включен) | CVE-2026-48282 | Path traversal -> RCE (согласно NVD) |
| Admin panel доступна, CF 2023.6 или CF 2021.12 и ранее | CVE-2024-20767 | File read, credentials для lateral movement |
| Admin panel доступна, CF 2023.11 или CF 2021.17 и ранее | CVE-2024-53961 | File read |
| CF 2018 U15 или CF 2021 U5 и ранее | CVE-2023-26360 | Improper Access Control, чтение данных (CISA описывает как deserialization) |
| CF 2025.9 или CF 2023.20 и ранее | CVE-2026-48276/48283 | Unrestricted file upload, RCE |
Вектор через CVE-2026-48282 - самый "вкусный": не требует аутентификации, не зависит от доступности admin panel, даёт полный RCE (CVSS 10.0, Scope Changed). CISA подтверждает: Automatable: yes, Technical Impact: total.
Ограничения техник и когда эксплуатация не сработает
| Защитная мера | Против каких CVE эффективна | Почему |
|---|---|---|
| Отключение RDS (удаление RDSServlet из web.xml) | CVE-2026-48282 (предположительно) | Может убрать точку входа, но уязвимый компонент не подтверждён в advisory |
| Admin panel за VPN/IP whitelist | CVE-2024-20767, CVE-2024-53961 | Эксплуатация требует доступности admin panel |
JDK serialization filters (-Djdk.serialFilter) | CVE-2023-26360 (если атака использует десериализацию, как в CISA-описании; NVD классифицирует как CWE-284 - тогда мера неэффективна), десериализационные цепочки | Блокирует опасные классы при десериализационном векторе |
| CrowdStrike Falcon / SentinelOne на хосте | Все (post-exploitation) | Behavioral detection: cmd.exe/powershell.exe от Java-процесса |
| Application-aware WAF | CVE-2026-48282 (частично) | Только если WAF умеет инспектировать бинарный RDS-протокол |
| Read-only web root / noexec partition | CVE-2026-48276/48283 (file upload), webshell deployment | Блокирует запись и исполнение в web-каталоге |
Что не помогает: стандартный WAF без кастомных правил не инспектирует бинарный RDS-протокол. SIEM без специфичных ColdFusion-правил не алертит на обращения к
/CFIDE/. Network-based IDS пропускает OAST-коллбэки через легитимные DNS-запросы.Контекст применения: описанные CVE эксплуатируются как при внешнем пентесте (ColdFusion с доступом из интернета), так и при внутреннем (ColdFusion во внутренней сети без сегментации).
Минилаб: воспроизведение в контролируемой среде
Требования к окружению
- ОС: Windows 10/11 или GNU/Linux (Ubuntu 22.04+) с Docker
- RAM: минимум 8 ГБ (JVM ColdFusion жрёт 2-4 ГБ)
- Сеть: online для загрузки Docker-образов и nuclei-шаблонов
- Инструменты: Nuclei (последний релиз), Burp Suite Community/Pro, curl
Bash:
# Предварительно обновите шаблоны: nuclei -update-templates
nuclei -id CVE-2026-48282 -u https://target -verbose
nuclei -id CVE-2023-26360 -u https://target -verbose
Формула на бумаге понятна, но kill chain по-настоящему ощущается, когда сам прогоняешь этапы на живом стенде. На HackerLab.pro (https://hackerlab.pro) в web-категории есть задачи, где подобные server-side уязвимости нужно собрать в полную цепочку самостоятельно - полезно для понимания того, как path traversal переходит в RCE.
Чеклист hardening ColdFusion
Готовый к передаче сисадмину список мер:
📚 Часть контента скрыта. Этот материал доступен участникам сообщества с рангом One Level или выше
Получить доступ просто — достаточно зарегистрироваться и проявить активность на форуме
Получить доступ просто — достаточно зарегистрироваться и проявить активность на форуме
ColdFusion - не "забытый" сервер, который можно пропустить в скоупе пентеста. Три CVE в CISA KEV с подтверждённой эксплуатацией in the wild, EPSS в Top 1% для двух из них, менее двух часов от раскрытия деталей до первых атак на CVE-2026-48282. Для ColdFusion, где EPSS-скоры зашкаливают, это 29 месяцев открытого RCE.
Каждый раз, когда на пентесте в результатах сканирования всплывает
/CFIDE/administrator/, я проверяю две вещи: доступен ли RDS и какой Update стоит. В большинстве случаев ответ неутешительный - сервер отстаёт на несколько обновлений, потому что "на нём ничего важного" или "он за reverse proxy, значит безопасен". Reverse proxy не спасает от CVE-2026-48282, если уязвимый эндпоинт доступен извне. Не спасает от CVE-2023-26360, если десериализация доступна через любой .cfc-эндпоинт. Adobe выпускает патчи - их нужно ставить, а не надеяться на сетевой периметр. Шесть уязвимостей с CVSS 10.0 в одном обновлении APSB26-68 - это не про качество аудита Adobe, а про масштаб технического долга в кодовой базе ColdFusion. И пока этот долг существует, ColdFusion останется одним из самых благодарных initial access-векторов для любого, кто умеет его искать.
Последнее редактирование модератором: