Análise Principal
Segurança & Risco5 min

ColdFusion sob fogo: CISA obriga agências federais dos EUA a corrigir CVE 10.0 até sexta

Administrador federal em sala de servidores revisando diretriz da CISA impressa com data de sexta marcada em vermelho, sob luz baixa de luminária.

Falha de path traversal recebeu nota máxima e virou alvo de exploração ativa duas horas depois do boletim técnico. CISA deu prazo até 10 de julho para o Executivo Civil Federal.

A CISA colocou nesta terça-feira o CVE-2026-48282, falha de path traversal com CVSS 10.0 no Adobe ColdFusion, no seu catálogo Known Exploited Vulnerabilities. Todas as agências do Executivo Civil Federal dos Estados Unidos precisam aplicar a correção ou tirar os servidores da rede até sexta-feira, 10 de julho. É a segunda vez em três anos que uma falha máxima do ColdFusion entra no catálogo por exploração ativa.


O bug está no handler FILEIO do Remote Development Services (RDS), interface que sobra ligada em ambientes de desenvolvimento e integrações antigas. Um atacante remoto, sem autenticação, consegue ler, escrever, renomear e apagar arquivos fora do diretório permitido com uma única requisição HTTP forjada. A Resecurity, em análise separada publicada em seu blog, descreve o vetor como escrita arbitrária de arquivo com escalada direta para execução remota de código. As versões afetadas são ColdFusion 2025 antes da build Update 10 e ColdFusion 2023 antes da build Update 21. A Adobe distribuiu os patches em 30 de junho e classificou a atualização como priority 1, categoria reservada a produtos com histórico recente de exploração.


Duas horas entre o boletim e o primeiro exploit


Ryan Dewhurst, fundador da KEVIntel, registrou tentativas capturadas por sensores honeypot em menos de duas horas depois que a watchTowr Labs publicou análise técnica dos flaws corrigidos pela Adobe. Uma das requisições veio de um endereço IP geolocalizado na Índia tentando ler o arquivo C:\Windows\win.ini, teste clássico de path traversal em servidores Windows. A watchTowr classificou o problema como arbitrary file write, o que, combinado à execução automática de arquivos .cfm pelo motor do ColdFusion, permite instalar um webshell sem exigir credenciais.


O RDS não vem ativado por padrão em novas instalações. O detalhe irrelevante em auditorias formais e crítico na prática: continua ligado em uma cauda longa de deployments antigos, especialmente em ambientes de desenvolvimento expostos por engano à internet ou dentro de containers com portas mal configuradas. O SecurityWeek registrou milhares de servidores ColdFusion voltados para a internet ainda em produção em governos, escritórios de advocacia e integradores B2B.


Onde o problema bate: EUA, Reino Unido e infraestrutura de terceiros


A base instalada de ColdFusion segue relevante fora do universo Fortune 500. Nos Estados Unidos, a CISA já emitiu ordens semelhantes para agências federais em 2023 (CVE-2023-26359) e em 2024, e cada onda revelou instâncias vulneráveis em pelo menos meia dúzia de departamentos, do Census à Small Business Administration. No Reino Unido, o National Cyber Security Centre publica boletins específicos sobre ColdFusion desde 2023, refletindo o uso residual em componentes de sistemas do HMRC e em fornecedores do National Health Service. O JPCERT/CC japonês costuma reproduzir os alertas da CISA em até 48 horas, e a exposição relevante lá está nas plataformas de crédito de bancos regionais integradas nos anos 2000. Provedores de serviços gerenciados que atendem clientes financeiros nesses três mercados carregam o risco em suas próprias operações de hospedagem legada.


A janela de aplicação do patch é apertada. Sysadmins federais precisam escolher entre aplicar o Update fora de uma janela de manutenção formal ou desligar o RDS externamente, medida que tende a quebrar pipelines internos de deploy que ainda dependem do serviço. Fornecedores terceirizados que hospedam esses ambientes precisam decidir a mesma coisa antes das seis da tarde de sexta em fuso Leste dos EUA, quando termina o prazo determinado pela CISA.


O que verificar antes do fim de semana


Os indicadores de compromisso divulgados pela watchTowr e pela Resecurity são específicos: arquivos não autorizados dentro do diretório /CFIDE/, criação de arquivos .cfm em pastas que normalmente não recebem uploads, requisições HTTP com strings de path traversal codificadas para /CFIDE/main/ide.cfm. A prioridade 1 da Adobe indica que os detalhes técnicos suficientes para um kit automatizado já estão públicos.


O CVE-2026-48282 é a segunda entrada máxima do ColdFusion no KEV em três anos e chega quatro dias depois de outra rodada de sete falhas críticas corrigidas pela Adobe em ColdFusion e Campaign Classic. Para o CIO que ainda mantém um Application Server 12 em produção porque o custo de migração parecia alto, o cálculo mudou nesta semana.

Análise Principal