CVE-2026-48282 est une vulnérabilité de traversée de chemin CVSS 10.0 dans Adobe ColdFusion permettant l'exécution de code sans authentification. Exploitation active confirmée par le CCCS.
En bref
- CVE-2026-48282 : path traversal permettant l'écriture arbitraire de fichiers et l'exécution de code à distance dans Adobe ColdFusion, CVSS 10.0
- Systèmes affectés : Adobe ColdFusion 2025 (versions ≤ Update 9) et ColdFusion 2023 (versions ≤ Update 20) sur Windows, Linux et macOS
- Action urgente : appliquer immédiatement ColdFusion 2023 Update 21 ou ColdFusion 2025 Update 10 — exploitation active confirmée par le CCCS
Les faits
Adobe ColdFusion est de nouveau au coeur d'une alerte de sécurité majeure. La vulnérabilité CVE-2026-48282, divulguée le 1er juillet 2026 dans le cadre d'un cycle de correctifs Adobe hors calendrier habituel, atteint le score CVSS 10.0 — le plafond absolu de la sévérité. Il s'agit d'une faille de traversée de chemin (path traversal) permettant à un attaquant non authentifié d'écrire des fichiers arbitraires sur le système hôte, aboutissant à l'exécution de code à distance avec les privilèges du processus ColdFusion.
La faille réside dans le mécanisme de traitement des chemins de fichiers du moteur ColdFusion. Un attaquant peut forger une requête HTTP spécialement conçue contenant des séquences de traversée de répertoire que le serveur ne filtre pas correctement avant de les utiliser pour écrire un fichier sur le système de fichiers. En écrivant un fichier JSP ou CFML malveillant dans un répertoire accessible via le serveur web, l'attaquant obtient une exécution de code à distance sans aucune authentification préalable. Le laboratoire watchTowr Labs, qui a analysé la vulnérabilité en détail, la décrit précisément comme un "arbitrary file write" exploitable pour atteindre le RCE complet sur le système hôte.
Les versions affectées couvrent un large spectre de déploiements actifs : ColdFusion 2025 Update 9 et antérieur (branche 2025.x), et ColdFusion 2023 Update 20 et antérieur (branche 2023.x). Ces deux branches représentent la quasi-totalité des installations ColdFusion en production aujourd'hui, car les versions antérieures à 2023 ne bénéficient plus de support officiel. Les systèmes exécutant ColdFusion sur Windows Server, Linux et macOS sont tous concernés par cette vulnérabilité, quel que soit le serveur web frontal utilisé (IIS, Apache).
L'exploitation dans la nature a été confirmée rapidement après la divulgation publique. Le Centre canadien pour la cybersécurité (CCCS) a été parmi les premiers à documenter l'exploitation active de CVE-2026-48282, indiquant dans ses bulletins de renseignement sur les menaces que des acteurs malveillants utilisaient déjà cette vulnérabilité pour compromettre des serveurs ColdFusion exposés sur Internet. BleepingComputer a relayé ces confirmations en début de semaine de juillet 2026, signalant des compromissions observées dans plusieurs secteurs, notamment les infrastructures e-commerce et les portails gouvernementaux exploitant ColdFusion comme backend applicatif.
Cette vulnérabilité s'inscrit dans un contexte particulièrement préoccupant pour ColdFusion. Le moteur Adobe est une cible historique des acteurs de la menace en raison de sa présence dans des environnements gouvernementaux, éducatifs et de santé aux États-Unis et au Canada. Les précédentes vulnérabilités critiques de ColdFusion avaient été massivement exploitées pour déployer des webshells et des implants persistants. CVE-2026-48282 suit le même schéma d'exploitation : accès initial via la faille de traversée de chemin, dépôt d'un fichier JSP malveillant accessible publiquement, puis exécution de commandes système arbitraires sans interaction utilisateur supplémentaire.
Le vecteur d'attaque complet selon CVSS v3.1 est AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H, justifiant le score maximal de 10.0. Le vecteur réseau (AV:N) signifie que l'attaque est exploitable depuis n'importe où sur Internet. La complexité faible (AC:L) indique qu'aucune condition particulière n'est requise pour réussir l'exploit. L'absence de privilèges requis (PR:N) et d'interaction utilisateur (UI:N) en font une cible parfaite pour des attaques automatisées à grande échelle. La portée modifiée (S:C) indique que la vulnérabilité peut impacter des ressources au-delà du composant vulnérable — dans ce cas, l'ensemble du système de fichiers du serveur hôte.
Adobe a qualifié CVE-2026-48282 de "Priority 1", sa classification d'urgence maximale, indiquant que la vulnérabilité est activement exploitée ou présente un risque très élevé d'exploitation imminente. Cette classification oblige les administrateurs à appliquer le correctif dans les 72 heures selon les recommandations internes d'Adobe. Les correctifs ont été publiés le 1er juillet 2026 sous forme des mises à jour ColdFusion 2023 Update 21 et ColdFusion 2025 Update 10, disponibles depuis le portail d'administration Adobe.
Il convient de noter que CVE-2026-48282 est l'une des neuf vulnérabilités divulguées par Adobe dans ce cycle hors-cycle, dont sept atteignent le score CVSS 10.0 pour les produits ColdFusion et Campaign Classic. La concentration de failles maximales dans un seul cycle de correctifs est sans précédent dans l'histoire d'Adobe et témoigne d'une refonte profonde du code sous-jacent de ColdFusion. Les recherches de watchTowr Labs suggèrent que plusieurs de ces failles partagent une racine commune dans le module de gestion des chemins de fichiers du moteur. Adobe n'a pas indiqué à ce stade si les failles ont été découvertes dans le cadre d'un audit interne ou de son programme de bug bounty.
Impact et exposition
ColdFusion est déployé dans des milliers d'organisations dans le monde, avec une concentration notable dans les administrations publiques américaines et canadiennes, les universités, et les établissements de santé. Selon les données de Shodan et Censys analysées par des chercheurs en sécurité, plusieurs milliers d'instances ColdFusion restent exposées directement sur Internet sans filtrage WAF. Ces installations sont les cibles prioritaires des acteurs malveillants, qui peuvent scanner et exploiter automatiquement CVE-2026-48282 grâce à des scripts déjà circulants dans des forums clandestins.
L'exploitation active sans authentification est le facteur d'impact le plus critique. N'importe quel acteur disposant d'un accès réseau au port exposé par le serveur ColdFusion peut compromettre le système en quelques secondes. Dans les environnements où ColdFusion gère des données sensibles — bases de données clients, informations de paiement, dossiers médicaux — la fenêtre d'exposition doit être réduite à zéro dans les meilleurs délais. L'écriture arbitraire de fichiers permet le dépôt de webshells persistants, de backdoors, ou d'outils de pivotement vers le réseau interne, rendant une compromission initiale difficile à détecter et à éradiquer complètement.
Les organisations qui ne peuvent pas appliquer immédiatement le correctif sont exposées à un risque extrêmement élevé de compromission. Les secteurs les plus à risque incluent les portails e-commerce propulsés par ColdFusion (risque d'exfiltration de données de paiement), les portails gouvernementaux (accès à des données personnelles ou sensibles), et les systèmes ERP intégrés utilisant ColdFusion comme middleware. La confirmation d'exploitation active par le CCCS indique que des campagnes ciblées sont déjà en cours à l'échelle internationale.
Les indicateurs de compromission incluent la présence de fichiers JSP ou CFML inattendus dans les répertoires web, des requêtes anormales dans les logs Apache ou IIS contenant des séquences de traversée de répertoire, des connexions sortantes inattendues depuis le processus ColdFusion, et des modifications récentes de fichiers dans les répertoires d'installation ColdFusion. L'analyse forensique des logs d'accès des 48 à 72 dernières heures est recommandée en priorité absolue pour toute organisation exposée.
Recommandations immédiates
- Appliquer immédiatement ColdFusion 2023 Update 21 ou ColdFusion 2025 Update 10 — Adobe Security Advisory APSB26-52 (exploitation active, sans délai)
- Si le patch immédiat est impossible : isoler le serveur ColdFusion derrière un WAF avec règles de filtrage pour les séquences de traversée de chemin, et restreindre l'accès réseau au port ColdFusion aux seules adresses IP internes connues
- Auditer les fichiers récemment créés dans les répertoires web ColdFusion et rechercher des webshells (fichiers .jsp ou .cfm contenant des appels à Runtime.exec, ProcessBuilder, ou la balise cfexecute)
- Activer la journalisation détaillée des requêtes HTTP et rechercher des patterns d'exploitation : requêtes POST contenant des séquences de traversée vers des endpoints de gestion de fichiers
- Indicateurs de compromission : fichiers créés en dehors des déploiements applicatifs normaux, connexions sortantes sur des ports non standard depuis le processus JVM ColdFusion, nouveaux comptes système créés récemment sur le serveur
⚠️ Urgence maximale
CVE-2026-48282 est activement exploitée dans la nature avec un score CVSS de 10.0 et ne requiert aucune authentification. Des serveurs ColdFusion sont compromis en ce moment même selon le CCCS. Toute organisation exécutant ColdFusion 2025 Update 9 ou antérieur, ou ColdFusion 2023 Update 20 ou antérieur, doit considérer son système comme potentiellement compromis et appliquer le correctif dans l'heure qui suit la lecture de cette alerte.
Comment savoir si je suis vulnérable ?
Connectez-vous à l'interface d'administration ColdFusion Administrator (généralement sur /CFIDE/administrator/) et vérifiez la version sous "Server Settings > Version Information". Si vous êtes sur ColdFusion 2023 avec un numéro de build inférieur à l'Update 21, ou ColdFusion 2025 inférieur à l'Update 10, vous êtes vulnérable. Sur Linux, vérifiez avec la commande : find /opt/coldfusion -name "neo-security.xml" 2>/dev/null puis consultez le fichier pour la version. Pour les instances sans accès admin, vérifiez le fichier cfusion/lib/neo-security.xml dans le répertoire d'installation ColdFusion.
Votre infrastructure ColdFusion est-elle exposée ?
Ayi NEDJIMI réalise des audits ciblés pour identifier et corriger vos vulnérabilités.
Demander un auditÀ propos de l'auteur
Ayi NEDJIMI
Auditeur Senior Cybersécurité & Consultant IA
Expert Judiciaire — Cour d'Appel de Paris
Habilitation Confidentiel Défense
[email protected]
Ayi NEDJIMI est un vétéran de la cybersécurité avec plus de 25 ans d'expérience sur des missions critiques. Ancien développeur Microsoft à Redmond sur le module GINA (Windows NT4) et co-auteur de la version française du guide de sécurité Windows NT4 pour la NSA.
À la tête d'Ayi NEDJIMI Consultants, il réalise des audits Lead Auditor ISO 42001 et ISO 27001, des pentests d'infrastructures critiques, du forensics et des missions de conformité NIS2 / AI Act.
Conférencier international (Europe & US), il a formé plus de 10 000 professionnels.
Domaines d'expertise
Ressources & Outils de l'auteur
Testez vos connaissances
Mini-quiz de certification lié à cet article — propulsé par CertifExpress
Articles connexes
CVE-2026-10520 : Ivanti Sentry RCE pré-auth CVSS 10.0
CVE-2026-10520 est une injection de commandes OS pré-authentifiée CVSS 10.0 dans Ivanti Sentry permettant l'exécution root. Des passerelles mobiles enterprise ont été backdoorées dans les 24h suivant la publication du PoC.
CVE-2026-33825 BlueHammer : Defender ciblé ransomwares
CVE-2026-33825 (BlueHammer), faille d'élévation de privilèges dans Microsoft Defender, est désormais exploitée par des gangs de ransomware selon la CISA. Mise à jour Windows d'avril 2026 requise.
CVE-2026-20253 : RCE pré-auth Splunk Enterprise, CISA KEV
CVE-2026-20253 affecte Splunk Enterprise 10.x via un endpoint PostgreSQL sidecar sans authentification permettant RCE. Exploitation active confirmée depuis le 14 juin 2026, ajoutée au KEV CISA le 18 juin 2026.
Un projet cybersécurité ? Parlons-en.
Pentest, conformité NIS 2, ISO 27001, audit IA, RSSI externalisé… nos experts répondent sous 24h pour évaluer votre besoin et vous proposer un accompagnement sur mesure.
Commentaires
Aucun commentaire pour le moment. Soyez le premier à commenter !
Laisser un commentaire