Análise Principal
Segurança & Risco6 min

Adobe fecha sete falhas CVSS 10.0 em ColdFusion e Campaign Classic com prioridade máxima e sem exploração no radar

Sala de servidores federais de madrugada, porta de rack aberta com adesivo antigo de ColdFusion, luz azul, adesivo vermelho de prioridade 1 e xícara de café pela metade em carrinho metálico.

Boletim APSB26-68 corrige 11 CVEs, sete com nota máxima, em ColdFusion 2025, ColdFusion 2023 e Campaign Classic 7.4.3. Adobe deu Priority Rating 1, categoria em que a companhia estima exploração iminente.

A Adobe publicou nesta terça-feira, 30 de junho, o boletim de segurança APSB26-68 corrigindo 11 vulnerabilidades no ColdFusion 2025, no ColdFusion 2023 e no Campaign Classic 7.4.3. Sete das falhas foram avaliadas com CVSS 10.0, a nota máxima, e receberam a Priority Rating 1 da própria Adobe, categoria reservada a bugs que a companhia acredita que atacantes vão mirar em breve. A Adobe afirma que não há evidência de exploração em produção até o momento, mas a combinação de CVSS 10 e Priority 1 é o mesmo padrão que precedeu, em julho de 2023, a inclusão de duas RCEs de ColdFusion no catálogo Known Exploited Vulnerabilities da CISA.


Seis das falhas nota 10 estão em ColdFusion e são de três tipos: upload sem restrição (CWE-434) em CVE-2026-48276 e CVE-2026-48283, validação de input imprópria (CWE-20) em CVE-2026-48277, CVE-2026-48281 e CVE-2026-48316, e path traversal (CWE-22) em CVE-2026-48282. Todas permitem execução arbitrária de código sem interação do usuário e, no caso das duas de upload, sem autenticação prévia. Um atacante remoto que consiga alcançar uma instância exposta ganha controle total do host.


A sétima falha nota 10, CVE-2026-48286, atinge o Campaign Classic e é um problema de autorização incorreta que leva ao mesmo desfecho de execução arbitrária. Fora as sete, o boletim traz CVE-2026-48313 (CVSS 9.3, leitura arbitrária de arquivos), CVE-2026-48315 (9.3, escalação de privilégio via arquivo malicioso), CVE-2026-48307 (8.8, XSS refletido que escala para RCE), CVE-2026-48285 (8.6, SSRF que quebra proteção de segurança) e CVE-2026-48314 (6.5, path traversal).


O universo afetado e a janela de exposição


As versões vulneráveis são ColdFusion 2025 até Update 9 e ColdFusion 2023 até Update 20. As correções vêm empacotadas em ColdFusion 2025 Update 10 e ColdFusion 2023 Update 21. A Adobe recomenda instalação em até 72 horas, prazo padrão para bulletins classe 1. O Campaign Classic recebe atualização pós-7.4.3.


O ColdFusion segue em ciclo de suporte comercial em ambas as versões, mas o tracker público da Foundeo, consultoria especializada na plataforma, mostra fluxo constante de boletins críticos desde 2023. Enquanto administradores testam o patch em homologação, servidores expostos à internet continuam elegíveis para essas cadeias, o que é o ponto sensível de aplicações governamentais e bancárias que preservaram interfaces ColdFusion para módulos internos legados.


Herança de código e leitura regulatória


O ColdFusion é uma das plataformas que a maioria dos CIOs assume ter morrido e que continua sustentando aplicações internas em segmentos regulados. Portais de agências federais americanas, sistemas de compliance em bancos de médio porte no Brasil e no México, apps de linha de negócio em seguradoras australianas e britânicas continuam rodando em runtimes ColdFusion que foram propositalmente escondidos atrás de load balancers e de CDNs.


A Foundeo lista dezenas de boletins publicados desde 2023, e a CISA já usou o ColdFusion como caso de estudo em treinamentos de inventário de aplicações legadas para agências civis. O padrão que a CISA descreve é o mesmo em jurisdições diferentes: os aplicativos continuam operando por dependência funcional, mesmo depois de migrações para plataformas modernas terem sido priorizadas nos road maps.


Para times de segurança em bancos e consultorias que ainda operam essas aplicações, o APSB26-68 força leitura combinada com dois vetores regulatórios recentes. Nos Estados Unidos, a diretiva BOD 25-02 da CISA, publicada em fevereiro, exige inventário de aplicações legadas com componentes de terceiros no ambiente federal, e ColdFusion aparece na lista de exemplos citados. Na União Europeia, o DORA obriga instituições financeiras a reportar exposições críticas em fornecedores ICT em até 24 horas ao regulador nacional, e o ColdFusion, quando sustenta uma aplicação de contabilidade ou de tesouraria, cabe no escopo.


Uma janela de 72 horas até a aplicação do patch é aceitável do ponto de vista técnico. É a pergunta que vem depois que costuma travar a resposta operacional: se um regulador entrar em contato antes do fim do prazo, o time consegue provar em que instância a atualização foi aplicada, quando, e por quem?

Análise Principal