ColdFusion sob fogo: CISA obriga agências federais dos EUA a corrigir CVE 10.0 até sexta

Falha de path traversal recebeu nota máxima e virou alvo de exploração ativa duas horas depois do boletim técnico. CISA deu prazo até 10 de julho para o Executivo Civil Federal.
A CISA colocou nesta terça-feira o CVE-2026-48282, falha de path traversal com CVSS 10.0 no Adobe ColdFusion, no seu catálogo Known Exploited Vulnerabilities. Todas as agências do Executivo Civil Federal dos Estados Unidos precisam aplicar a correção ou tirar os servidores da rede até sexta-feira, 10 de julho. É a segunda vez em três anos que uma falha máxima do ColdFusion entra no catálogo por exploração ativa.
O bug está no handler FILEIO do Remote Development Services (RDS), interface que sobra ligada em ambientes de desenvolvimento e integrações antigas. Um atacante remoto, sem autenticação, consegue ler, escrever, renomear e apagar arquivos fora do diretório permitido com uma única requisição HTTP forjada. A Resecurity, em análise separada publicada em seu blog, descreve o vetor como escrita arbitrária de arquivo com escalada direta para execução remota de código. As versões afetadas são ColdFusion 2025 antes da build Update 10 e ColdFusion 2023 antes da build Update 21. A Adobe distribuiu os patches em 30 de junho e classificou a atualização como priority 1, categoria reservada a produtos com histórico recente de exploração.
Duas horas entre o boletim e o primeiro exploit
Ryan Dewhurst, fundador da KEVIntel, registrou tentativas capturadas por sensores honeypot em menos de duas horas depois que a watchTowr Labs publicou análise técnica dos flaws corrigidos pela Adobe. Uma das requisições veio de um endereço IP geolocalizado na Índia tentando ler o arquivo C:\Windows\win.ini, teste clássico de path traversal em servidores Windows. A watchTowr classificou o problema como arbitrary file write, o que, combinado à execução automática de arquivos .cfm pelo motor do ColdFusion, permite instalar um webshell sem exigir credenciais.
O RDS não vem ativado por padrão em novas instalações. O detalhe irrelevante em auditorias formais e crítico na prática: continua ligado em uma cauda longa de deployments antigos, especialmente em ambientes de desenvolvimento expostos por engano à internet ou dentro de containers com portas mal configuradas. O SecurityWeek registrou milhares de servidores ColdFusion voltados para a internet ainda em produção em governos, escritórios de advocacia e integradores B2B.
Onde o problema bate: EUA, Reino Unido e infraestrutura de terceiros
A base instalada de ColdFusion segue relevante fora do universo Fortune 500. Nos Estados Unidos, a CISA já emitiu ordens semelhantes para agências federais em 2023 (CVE-2023-26359) e em 2024, e cada onda revelou instâncias vulneráveis em pelo menos meia dúzia de departamentos, do Census à Small Business Administration. No Reino Unido, o National Cyber Security Centre publica boletins específicos sobre ColdFusion desde 2023, refletindo o uso residual em componentes de sistemas do HMRC e em fornecedores do National Health Service. O JPCERT/CC japonês costuma reproduzir os alertas da CISA em até 48 horas, e a exposição relevante lá está nas plataformas de crédito de bancos regionais integradas nos anos 2000. Provedores de serviços gerenciados que atendem clientes financeiros nesses três mercados carregam o risco em suas próprias operações de hospedagem legada.
A janela de aplicação do patch é apertada. Sysadmins federais precisam escolher entre aplicar o Update fora de uma janela de manutenção formal ou desligar o RDS externamente, medida que tende a quebrar pipelines internos de deploy que ainda dependem do serviço. Fornecedores terceirizados que hospedam esses ambientes precisam decidir a mesma coisa antes das seis da tarde de sexta em fuso Leste dos EUA, quando termina o prazo determinado pela CISA.
O que verificar antes do fim de semana
Os indicadores de compromisso divulgados pela watchTowr e pela Resecurity são específicos: arquivos não autorizados dentro do diretório /CFIDE/, criação de arquivos .cfm em pastas que normalmente não recebem uploads, requisições HTTP com strings de path traversal codificadas para /CFIDE/main/ide.cfm. A prioridade 1 da Adobe indica que os detalhes técnicos suficientes para um kit automatizado já estão públicos.
O CVE-2026-48282 é a segunda entrada máxima do ColdFusion no KEV em três anos e chega quatro dias depois de outra rodada de sete falhas críticas corrigidas pela Adobe em ColdFusion e Campaign Classic. Para o CIO que ainda mantém um Application Server 12 em produção porque o custo de migração parecia alto, o cálculo mudou nesta semana.