Crítica Falha no Adobe ColdFusion Já Sendo Explorada em Ataques
Uma vulnerabilidade crítica no Adobe ColdFusion, com pontuação máxima no CVSS, está sendo ativamente explorada por atacantes poucas horas após sua divulgação. A falha permite a execução remota de código e afeta diversas versões do software.
MundiX News·09 de julho de 2026·4 min de leitura·👁 1 views
Atacantes começaram a explorar uma nova vulnerabilidade no Adobe ColdFusion (CVE-2026-48282) cerca de duas horas após a publicação de informações sobre ela. Os desenvolvedores corrigiram este problema na semana passada e recomendaram enfaticamente que os administradores instalassem as atualizações o mais rápido possível.
A vulnerabilidade CVE-2026-48282 recebeu a pontuação máxima de 10 de 10 possíveis na escala CVSS e afeta o ColdFusion 2025.9, 2023.20 e versões anteriores. O problema é do tipo path traversal e permite que um atacante não autenticado grave arquivos arbitrários, o que, em última instância, pode levar à execução remota de código (Remote Code Execution - RCE).
O fundador da KEVIntel, Ryan Dewhurst, relata que a exploração da nova falha foi detectada pela rede global de honeypots da empresa. As primeiras tentativas de ataque foram observadas menos de duas horas após a divulgação dos detalhes da CVE-2026-48282. Por exemplo, uma requisição veio do endereço IP 103.207.14[.]220, e o atacante tentou acessar o arquivo C:\Windows\win.ini.
O Centro Canadense de Cibersegurança (Canadian Centre for Cyber Security, CCCS) também alertou que a vulnerabilidade já está sendo utilizada em ataques e pediu aos administradores que instalassem os patches imediatamente.
De acordo com dados do Shadowserver, atualmente existem quase 800 instâncias do Adobe ColdFusion disponíveis na internet. É importante notar que, na semana passada, oito vulnerabilidades foram corrigidas no ColdFusion, seis das quais receberam a pontuação máxima de 10 na escala CVSS: CVE-2026-48276, CVE-2026-48277, CVE-2026-48281, CVE-2026-48282, CVE-2026-48283 e CVE-2026-48316. Essas vulnerabilidades permitem o upload de arquivos, a travessia de diretórios (directory traversal) e a execução de código arbitrário.
Outros dois problemas, CVE-2026-48313 e CVE-2026-48315, obtiveram 9,3 pontos na escala CVSS e levam à leitura de arquivos arbitrários e à escalada de privilégios (privilege escalation).
Conforme relataram pesquisadores da empresa watchTowr, essas atualizações também corrigiram uma série de outros problemas não documentados relacionados à movimentação e exclusão de arquivos, criação de diretórios e visualização de seu conteúdo.
Todas as vulnerabilidades foram corrigidas no ColdFusion 2023 Update 21 e ColdFusion 2025 Update 10.
Além disso, simultaneamente ao lançamento dos patches para o ColdFusion, os desenvolvedores corrigiram o problema CVE-2026-48286 no Adobe Campaign Classic, que também recebeu uma avaliação de 10,0 pontos na escala CVSS. Essa falha estava relacionada a um erro de autorização e permitia a execução de código arbitrário, afetando instalações locais do ACC 7.4.3 build 9396 e versões anteriores. A correção para CVE-2026-48286 foi incluída no build 9397, e os especialistas da Adobe também atualizaram as instâncias na nuvem.
🛡️⚡
Pare de pesquisar. Comece a hackear.
O MundiX é seu copiloto de pentest com IA: comandos exatos, análise de outputs e próximo passo na kill chain — em segundos.
Sem cartão para começar · Planos a partir de R$49/mês
Atacantes começaram a explorar uma nova vulnerabilidade no Adobe ColdFusion (CVE-2026-48282) cerca de duas horas após a publicação de informações sobre ela. Os desenvolvedores corrigiram este problema na semana passada e recomendaram enfaticamente que os administradores instalassem as atualizações o mais rápido possível.
A vulnerabilidade CVE-2026-48282 recebeu a pontuação máxima de 10 de 10 possíveis na escala CVSS e afeta o ColdFusion 2025.9, 2023.20 e versões anteriores. O problema é do tipo path traversal e permite que um atacante não autenticado grave arquivos arbitrários, o que, em última instância, pode levar à execução remota de código (Remote Code Execution - RCE).
O fundador da KEVIntel, Ryan Dewhurst, relata que a exploração da nova falha foi detectada pela rede global de honeypots da empresa. As primeiras tentativas de ataque foram observadas menos de duas horas após a divulgação dos detalhes da CVE-2026-48282. Por exemplo, uma requisição veio do endereço IP 103.207.14[.]220, e o atacante tentou acessar o arquivo C:\Windows\win.ini.
O Centro Canadense de Cibersegurança (Canadian Centre for Cyber Security, CCCS) também alertou que a vulnerabilidade já está sendo utilizada em ataques e pediu aos administradores que instalassem os patches imediatamente.
De acordo com dados do Shadowserver, atualmente existem quase 800 instâncias do Adobe ColdFusion disponíveis na internet. É importante notar que, na semana passada, oito vulnerabilidades foram corrigidas no ColdFusion, seis das quais receberam a pontuação máxima de 10 na escala CVSS: CVE-2026-48276, CVE-2026-48277, CVE-2026-48281, CVE-2026-48282, CVE-2026-48283 e CVE-2026-48316. Essas vulnerabilidades permitem o upload de arquivos, a travessia de diretórios (directory traversal) e a execução de código arbitrário.
Outros dois problemas, CVE-2026-48313 e CVE-2026-48315, obtiveram 9,3 pontos na escala CVSS e levam à leitura de arquivos arbitrários e à escalada de privilégios (privilege escalation).
Conforme relataram pesquisadores da empresa watchTowr, essas atualizações também corrigiram uma série de outros problemas não documentados relacionados à movimentação e exclusão de arquivos, criação de diretórios e visualização de seu conteúdo.
Todas as vulnerabilidades foram corrigidas no ColdFusion 2023 Update 21 e ColdFusion 2025 Update 10.
Além disso, simultaneamente ao lançamento dos patches para o ColdFusion, os desenvolvedores corrigiram o problema CVE-2026-48286 no Adobe Campaign Classic, que também recebeu uma avaliação de 10,0 pontos na escala CVSS. Essa falha estava relacionada a um erro de autorização e permitia a execução de código arbitrário, afetando instalações locais do ACC 7.4.3 build 9396 e versões anteriores. A correção para CVE-2026-48286 foi incluída no build 9397, e os especialistas da Adobe também atualizaram as instâncias na nuvem.
📤 Compartilhar & Baixar
🧰 Ferramentas recomendadas
Divulgação: alguns links são patrocinados. Podemos receber comissão se você comprar — sem custo extra para você. Só indicamos o que faz sentido para a comunidade.