ColdFusion CVE-2026-48282: exploração ativa e prazo do CISA para agências federais dos EUA vence hoje

A falha de path traversal no Adobe ColdFusion foi corrigida em 30 de junho, mas atacantes começaram a explorar em duas horas. O CISA fixou 10 de julho como prazo federal.
Path traversal com CVSS 10 e janela curta de exploração
O CVE-2026-48282 é uma falha de path traversal no Adobe ColdFusion classificada com CVSS 10.0, a nota máxima. A vulnerabilidade foi corrigida em 30 de junho, no mesmo pacote que trouxe outras seis correções de severidade máxima na plataforma. A janela entre patch e exploração foi curta: pesquisadores da watchTowr publicaram análise técnica no dia 2 de julho e, segundo o serviço de threat intel KEVIntel, os primeiros honeypots começaram a receber tentativas de exploração horas depois. Em outra leitura da mesma fonte, ataques válidos começaram dentro de duas horas do disclosure público.
A exploração só funciona em servidores com Remote Development Services (RDS) habilitado e autenticação de RDS desligada. Essa combinação não é padrão de fábrica, mas é comum em ambientes legados de intranet e em cópias de desenvolvimento que foram esquecidas em produção. A Adobe pede upgrade imediato para ColdFusion 2025 Update 10 ou ColdFusion 2023 Update 21.
CISA fixa prazo doméstico, setor privado global fica exposto
Em 7 de julho, o CISA adicionou o CVE ao catálogo Known Exploited Vulnerabilities. A Binding Operational Directive 26-04 obriga agências civis federais dos EUA a corrigirem o problema até 10 de julho, prazo que vence nesta sexta-feira. O compasso doméstico é rígido, mas o setor privado global fica sem tutela equivalente e opera no ritmo de disclosure de vendor.
Não há, até o fechamento desta matéria, cliente corporativo nomeado como vítima confirmada. Nenhum grupo de ransomware reivindicou o incidente até o momento e a Adobe não havia se pronunciado publicamente sobre casos de exploração além do reconhecimento do CVE. Analistas de resposta a incidente descrevem o padrão observado como scan-and-drop, com upload de webshell seguido de execução remota sob privilégio do processo do ColdFusion.
O que está confirmado sobre o vetor
O ataque explora manipulação de path para escrever arquivos fora do web root, o que abre caminho para deployment de webshell e execução remota. O SecurityWeek e o Bleeping Computer descrevem o padrão de exploração observado, e reportes de threat intel apontam para o endereço IP 103.207.14.220, localizado na Índia, como origem das primeiras varreduras. Não há atribuição pública a grupo específico.
A Adobe classificou a fila de correção como prioridade 1, o rótulo mais alto do seu esquema interno. Isso indica risco alto de exploração e recomendação de patch em até 72 horas a partir do disclosure. Para servidores expostos à internet nesse intervalo, a Adobe pede caça a indicadores como arquivos não autorizados sob o web root e sob o diretório /CFIDE/.
Por que ColdFusion segue sendo alvo em 2026
Adobe posicionou a plataforma como veículo de desenvolvimento rápido para intranet e portais governamentais. A base instalada não é grande em número, mas concentra ativos sensíveis. Nos últimos dois anos, o ColdFusion acumulou pelo menos cinco entradas no KEV catalog, incluindo o CVE-2024-53961, explorado em 2024 no mesmo padrão de path traversal. Latest Hacking News classificou a sequência como "design failure, not bad luck" em análise publicada em 8 de julho. A crítica de arquitetura é dura mas se sustenta pela repetição do vetor.
Para o comprador, a decisão prática é entre patch imediato e migração planejada. Migrar um portal ColdFusion para stack moderna costuma custar entre US$ 400 mil e US$ 2 milhões dependendo do volume de CFML custom, o que explica a sobrevivência de ativos legados dentro da janela de risco. O KEV catalog serve, na prática, como o cronômetro que força o board a ver o custo do adiamento.
O que muda para o CISO em dois mercados
Nos EUA, a leitura é operacional: o prazo do CISA vale para agência federal, mas contratos B2B com o governo geralmente exigem paridade de patch. Se a sua companhia atende cliente federal, o ciclo de auditoria da próxima RFP vai perguntar por essa correção. Vale rodar inventário interno hoje para localizar servidores ColdFusion esquecidos em subsidiárias.
No Reino Unido, o NCSC emitiu comunicação com o mesmo texto de urgência para agências do Whitehall e conselhos locais, sem BOD equivalente. Bancos britânicos com intranets legadas em ColdFusion recebem a mesma orientação por caminho voluntário; o volume de patch nas próximas 72 horas será o proxy de leitura para o buy side londrino. Na Índia, a coincidência do IP de origem com a região onde ficam os maiores centros de delivery de MSSP do subcontinente merece atenção: se a mesma infraestrutura for reutilizada em outras campanhas, o custo de contêiner cresce para o cliente asiático que terceiriza SOC. O ativo antigo tem custo político, e o cronômetro do KEV está correndo.