A Adobe orientou usuários do ColdFusion a aplicar imediatamente o boletim APSB26-68, que corrige 11 CVEs — seis deles com CVSS máximo (10) — depois que a falha crítica CVE-2026-48282 começou a ser explorada ativamente na natureza poucas horas após a divulgação pública. É um path traversal que leva à execução remota de código sem interação de usuário, e há 775 instâncias do ColdFusion ainda expostas à internet, segundo a ShadowServer Foundation.
Em 30 de junho de 2026, a Adobe publicou o boletim APSB26-68 com correções para 11 vulnerabilidades no Adobe ColdFusion, plataforma de desenvolvimento de aplicações web ainda amplamente usada em governos, integradores e sistemas legados corporativos. Seis das falhas receberam a classificação máxima de severidade (CVSS 10), o que significa que podem ser exploradas remotamente, sem autenticação e sem interação de usuário — a pior combinação possível em segurança de aplicações.
A CVE-2026-48282, um path traversal que permite execução arbitrária de código, começou a ser explorada por atacantes poucas horas depois da divulgação pública. Pesquisadores de segurança já detectaram tentativas de exploração em honeypots globalmente. No momento da publicação do alerta, a falha ainda não constava no catálogo Known Exploited Vulnerabilities (KEV) da CISA — o que, dado o padrão histórico, deve mudar em questão de dias.
A ShadowServer Foundation mapeou 775 instâncias do ColdFusion expostas diretamente à internet, sem WAF nem restrição de acesso administrativo. Historicamente, boa parte desses servidores pertence a órgãos governamentais, universidades, integradores e ERP legado — perfis com ciclo de patch lento e altíssimo valor pós-comprometimento.
O path traversal — categoria clássica CWE-22 — permite ao atacante manipular parâmetros de caminho para acessar arquivos fora do diretório esperado. Combinado com a arquitetura de execução do ColdFusion (que interpreta arquivos .cfm como código do lado do servidor), a leitura arbitrária pode ser convertida em escrita e, dela, em execução remota de código. É o mesmo padrão de falha que devastou administradores em 2023 com a CVE-2023-26360, também no ColdFusion, e que a CISA já havia sinalizado como vetor recorrente de acesso inicial para ransomware.
“As falhas de severidade máxima são particularmente perigosas, já que a exploração não requer interação do usuário.” — Infosecurity Magazine, com base no boletim da Adobe.
O ColdFusion virou o quintessencial “software zumbi” — ainda em produção em milhares de servidores porque migrar aplicações legadas para stacks modernos custa caro e é politicamente difícil, mas sem receber a mesma atenção de segurança das plataformas ativas. Em 2023, a CVE-2023-26360 (também path traversal) foi explorada para invadir agências federais americanas — a CISA emitiu alertas específicos, e mesmo assim o padrão se repete três anos depois com a CVE-2026-48282.
O tempo entre a publicação do patch e a exploração ativa — literalmente horas — mostra que atacantes hoje monitoram diffs de código dos boletins da Adobe em tempo real, engenharia reversa incluída. Isso reduz a janela útil de “aplicar patch antes do exploit público” a praticamente zero, e obriga defensores a operar com controles compensatórios (WAF, segmentação, restrição de acesso administrativo) enquanto o patch não é aplicado.
Para o Brasil, o alerta é especialmente importante porque parte significativa do ColdFusion instalado no país está em ambientes de governo com processo de patch bem lento, muitas vezes com dependência de fornecedor terceiro para autorizar mudanças em produção. Se somarmos que a exploração de ColdFusion já foi porta de entrada para famílias de ransomware como LockBit e ALPHV em campanhas anteriores, o vetor é uma bomba pronta para explodir em administrações municipais e órgãos regionais.
.cfm, .cfml, .jsp e webshells conhecidas.../, requisições anormais ao administrator e novas datasources não autorizadas são sinais de exploração.Fonte: Infosecurity Magazine
Nova falha de escalada de privilégios no kernel Linux permite que processo sem privilégios vire…
Denúncia federal americana desvela como o identificador persistente da Microsoft ligou um alegado membro do…
Novo benchmark da OpenAI mede research taste em biologia computacional. GPT-5.6 Sol acerta 31,5%; Claude…
Chamada 'Scaling AI Safety for a Multi-Agent World' distribui ate US$ 1M por projeto para…
Nova abordagem do CSAIL, apresentada no ICRA 2026, usa um LLM para desambiguar instrucoes e…
Mamba-3 propoe recorrencia mais expressiva, atualizacao complexa e formulacao MIMO. Ganho de 0,6 a 1,2…