Categories: ALERTASINCIDENTES

Adobe ColdFusion sob ataque: CVE-2026-48282 é explorada horas após patch e coloca 775 servidores em risco

A Adobe orientou usuários do ColdFusion a aplicar imediatamente o boletim APSB26-68, que corrige 11 CVEs — seis deles com CVSS máximo (10) — depois que a falha crítica CVE-2026-48282 começou a ser explorada ativamente na natureza poucas horas após a divulgação pública. É um path traversal que leva à execução remota de código sem interação de usuário, e há 775 instâncias do ColdFusion ainda expostas à internet, segundo a ShadowServer Foundation.

O que aconteceu

Em 30 de junho de 2026, a Adobe publicou o boletim APSB26-68 com correções para 11 vulnerabilidades no Adobe ColdFusion, plataforma de desenvolvimento de aplicações web ainda amplamente usada em governos, integradores e sistemas legados corporativos. Seis das falhas receberam a classificação máxima de severidade (CVSS 10), o que significa que podem ser exploradas remotamente, sem autenticação e sem interação de usuário — a pior combinação possível em segurança de aplicações.

A CVE-2026-48282, um path traversal que permite execução arbitrária de código, começou a ser explorada por atacantes poucas horas depois da divulgação pública. Pesquisadores de segurança já detectaram tentativas de exploração em honeypots globalmente. No momento da publicação do alerta, a falha ainda não constava no catálogo Known Exploited Vulnerabilities (KEV) da CISA — o que, dado o padrão histórico, deve mudar em questão de dias.

A ShadowServer Foundation mapeou 775 instâncias do ColdFusion expostas diretamente à internet, sem WAF nem restrição de acesso administrativo. Historicamente, boa parte desses servidores pertence a órgãos governamentais, universidades, integradores e ERP legado — perfis com ciclo de patch lento e altíssimo valor pós-comprometimento.

Detalhes da vulnerabilidade

O path traversal — categoria clássica CWE-22 — permite ao atacante manipular parâmetros de caminho para acessar arquivos fora do diretório esperado. Combinado com a arquitetura de execução do ColdFusion (que interpreta arquivos .cfm como código do lado do servidor), a leitura arbitrária pode ser convertida em escrita e, dela, em execução remota de código. É o mesmo padrão de falha que devastou administradores em 2023 com a CVE-2023-26360, também no ColdFusion, e que a CISA já havia sinalizado como vetor recorrente de acesso inicial para ransomware.

“As falhas de severidade máxima são particularmente perigosas, já que a exploração não requer interação do usuário.” — Infosecurity Magazine, com base no boletim da Adobe.

Quem é afetado

  • Órgãos governamentais e agências federais/estaduais que ainda operam sistemas ColdFusion — historicamente o alvo preferido em campanhas exploratórias contra a plataforma.
  • Universidades e integradores com aplicações internas herdadas, muitas vezes fora do inventário oficial de patch management.
  • Provedores de serviço e hosts compartilhados que ainda oferecem ColdFusion — comprometimento único pode escalar para múltiplos clientes.
  • Setor financeiro e seguros — algumas aplicações regulatórias e de underwriting ainda são mantidas em ColdFusion por questões de compatibilidade.
  • Aplicações governamentais brasileiras — o Brasil tem histórico documentado de uso de ColdFusion em prefeituras, órgãos estaduais e sistemas municipais.

Análise

O ColdFusion virou o quintessencial “software zumbi” — ainda em produção em milhares de servidores porque migrar aplicações legadas para stacks modernos custa caro e é politicamente difícil, mas sem receber a mesma atenção de segurança das plataformas ativas. Em 2023, a CVE-2023-26360 (também path traversal) foi explorada para invadir agências federais americanas — a CISA emitiu alertas específicos, e mesmo assim o padrão se repete três anos depois com a CVE-2026-48282.

O tempo entre a publicação do patch e a exploração ativa — literalmente horas — mostra que atacantes hoje monitoram diffs de código dos boletins da Adobe em tempo real, engenharia reversa incluída. Isso reduz a janela útil de “aplicar patch antes do exploit público” a praticamente zero, e obriga defensores a operar com controles compensatórios (WAF, segmentação, restrição de acesso administrativo) enquanto o patch não é aplicado.

Para o Brasil, o alerta é especialmente importante porque parte significativa do ColdFusion instalado no país está em ambientes de governo com processo de patch bem lento, muitas vezes com dependência de fornecedor terceiro para autorizar mudanças em produção. Se somarmos que a exploração de ColdFusion já foi porta de entrada para famílias de ransomware como LockBit e ALPHV em campanhas anteriores, o vetor é uma bomba pronta para explodir em administrações municipais e órgãos regionais.

Recomendações práticas

  • Aplique o boletim APSB26-68 imediatamente em todas as instâncias do ColdFusion — inclusive as internas.
  • Se o patch não puder ser aplicado agora, coloque as instâncias atrás de um WAF, restrinja acesso à interface administrativa a redes internas e desabilite o CFIDE se possível.
  • Monitore uploads de arquivos suspeitos nos diretórios do ColdFusion, principalmente .cfm, .cfml, .jsp e webshells conhecidas.
  • Verifique se você tem ColdFusion em ambiente — muitos incidentes ocorrem em servidores esquecidos que ninguém sabia que existiam. Use Shodan, Censys e varredura interna para descoberta.
  • Correlacione logs com o boletim: tentativas de acesso a URLs contendo ../, requisições anormais ao administrator e novas datasources não autorizadas são sinais de exploração.
  • Prepare-se para atribuição ao KEV da CISA — quando isso acontecer, órgãos federais americanos terão prazo obrigatório para remediação, e a pressão regulatória tende a chegar ao setor privado logo em seguida.

Fonte: Infosecurity Magazine

TheNinja

Recent Posts

Bad Epoll (CVE-2026-46242): falha use-after-free no kernel Linux dá root em Linux e Android

Nova falha de escalada de privilégios no kernel Linux permite que processo sem privilégios vire…

3 horas ago

Documento judicial revela: FBI usou Windows Device ID para rastrear suposto operador do Scattered Spider

Denúncia federal americana desvela como o identificador persistente da Microsoft ligou um alegado membro do…

3 horas ago

OpenAI lanca GeneBench-Pro: benchmark de 129 problemas mostra que o melhor modelo do mundo ainda erra 70% das analises de biologia real

Novo benchmark da OpenAI mede research taste em biologia computacional. GPT-5.6 Sol acerta 31,5%; Claude…

7 horas ago

MIT ensina robos a ler nas entrelinhas: Masked IRL usa dois LLMs para transformar ordens vagas em plano de acao – com 5x menos demonstracao

Nova abordagem do CSAIL, apresentada no ICRA 2026, usa um LLM para desambiguar instrucoes e…

7 horas ago

Mamba-3 chega ao ICLR 2026: como o novo modelo de espaco de estados corta pela metade o tamanho do estado e ainda ganha em precisao

Mamba-3 propoe recorrencia mais expressiva, atualizacao complexa e formulacao MIMO. Ganho de 0,6 a 1,2…

7 horas ago