En bref

  • Adobe publie 9 CVE dont 7 notees CVSS 10.0 dans ColdFusion 2023/2025 et Campaign Classic v7 le 1er juillet 2026, incluant CVE-2026-48276, CVE-2026-48281, CVE-2026-48282, CVE-2026-48283, CVE-2026-48286, CVE-2026-48313, CVE-2026-48315
  • Systemes affectes : ColdFusion 2023 (Update 13 et anterieur), ColdFusion 2025 (Update 3 et anterieur), Campaign Classic v7 (build 9396 et anterieur) — installations on-premise uniquement
  • Action urgente : appliquer les patches Priority 1 immediatement (ColdFusion Update 14/Update 4, Campaign Classic build 9397) — fenetre d'exploitation tres courte historiquement pour ColdFusion

Les faits

Le 1er juillet 2026, Adobe a publie deux bulletins de securite couvrant neuf vulnerabilites critiques reparties entre Adobe ColdFusion (versions 2023 et 2025) et Adobe Campaign Classic v7. Sept de ces neuf failles recoivent un score CVSS v3.1 de 10.0, la notation maximale possible, signifiant qu'elles sont exploitables a distance sans authentification, avec une complexite d'attaque nulle et un impact total sur la confidentialite, l'integrite et la disponibilite des systemes cibles. Cette concentration exceptionnelle de vulnerabilites a severite maximale dans une seule vague de correctifs place ce bulletin parmi les plus critiques publies par Adobe en 2026, et constitue un signal d'alarme fort pour toutes les organisations utilisant ces produits en deploiement on-premise.

Les neuf identifiants CVE concernes sont : CVE-2026-48276, CVE-2026-48277, CVE-2026-48281, CVE-2026-48282, CVE-2026-48283, CVE-2026-48286, CVE-2026-48313, CVE-2026-48315 et CVE-2026-48316. Parmi elles, CVE-2026-48286 illustre le profil de risque de ce bulletin : il s'agit d'une faille d'autorisation incorrecte (CWE-285 : Improper Authorization) dans Adobe Campaign Classic v7, permettant a un attaquant d'executer du code arbitraire dans le contexte de l'utilisateur courant du serveur Campaign. Le score CVSS 10.0 reflete l'absence totale de barriere a l'exploitation : acces reseau, aucune authentification, aucune interaction utilisateur, impact maximal sur les trois piliers CIA (Confidentialite, Integrite, Disponibilite).

Adobe ColdFusion, le serveur d'application web utilise pour executer des applications CFML (ColdFusion Markup Language), est affecte dans ses versions 2023 (jusqu'a l'Update 13 inclus) et 2025 (jusqu'a l'Update 3 inclus). Les vulnerabilites identifiees dans ColdFusion couvrent plusieurs classes de failles : execution de code a distance non authentifiee, lecture de fichiers arbitraires, traversee de repertoires et contournement de controles d'acces. ColdFusion est historiquement une cible privilegiee des attaquants : ses vulnerabilites sont exploitees en quelques heures apres divulgation, comme l'ont demontre les incidents lies a CVE-2023-29300 et CVE-2023-38203 en 2023, qui ont compromis des milliers de serveurs avant meme la publication generalisee des patches.

Adobe Campaign Classic v7, la plateforme de gestion des campagnes marketing en deploiement on-premise, est affecte dans toutes les versions anterieures au build 9397 (version 7.4.3). CVE-2026-48286 et les CVE associees permettent d'atteindre une execution de code arbitraire via des mecanismes d'autorisation incorrectement implementes dans les composants d'API ou de traitement des requetes de Campaign Classic. Il est crucial de noter que ces failles n'affectent que les deploiements on-premise — les instances hebergees par Adobe dans le cloud ont ete mises a jour automatiquement et ne necessitent aucune action de la part des clients. Les deploiements hybrides (composants on-premise combines a des services Adobe-hosted) doivent verifier et mettre a jour leurs composants locaux.

Le contexte de decouverte de ce cluster de vulnerabilites est notable : Adobe a annonce, en parallele de ces correctifs, un changement structurel de sa politique de publication securite. A partir du 14 juillet 2026, Adobe passera a un rythme de bulletins bimensuels (deux fois par mois), contre mensuel auparavant. Cette decision est explicitement motivee par l'acceleration de la decouverte de vulnerabilites via des outils d'intelligence artificielle, qui a reduit le delai entre la divulgation d'une faille et son exploitation active — parfois de jours a heures. Selon AppSec Security Standards, l'IA accelere la decouverte de failles plus vite que les equipes securite ne peuvent les corriger, ce qui justifie ce changement de cadence chez Adobe.

Adobe a classifie l'ensemble de ces correctifs en "Priority 1" (P1) dans son systeme de priorisation interne — la categorie la plus urgente, reservee aux failles pour lesquelles un risque imminent d'exploitation existe ou pour lesquelles les produits concernes sont historiquement des cibles de haute valeur. Pour ColdFusion en particulier, cette classification P1 est systematique depuis les incidents de 2023, qui ont demontre que les serveurs ColdFusion vulnerables sont activement scannes et compromis dans des delais inferieurs a 48 heures apres la publication d'une faille. Selon Qualys ThreatPROTECT, plusieurs milliers d'instances ColdFusion restent exposees sur Internet sans les dernieres mises a jour de securite.

A la date de publication de cet article (5 juillet 2026), Adobe indique n'avoir detecte aucun exploit actif dans la nature pour les failles couvertes par ces deux bulletins. Cependant, l'experience historique avec des vulnerabilites ColdFusion CVSS 10.0 enseigne que ce delai peut etre extremement court. Des equipes specialisees dans l'analyse de patches (patch diffing) sont capables de developper des exploits fonctionnels en moins de 24 a 48 heures apres la publication d'un correctif pour des failles de cette nature. Avec sept failles CVSS 10.0 dans un produit aussi cible, la fenetre pour appliquer les correctifs avant exploitation active est particulierement etroite — chaque heure compte.

Les correctifs disponibles sont les suivants : pour ColdFusion 2023, mettre a jour vers l'Update 14 ; pour ColdFusion 2025, mettre a jour vers l'Update 4 ; pour Campaign Classic v7, mettre a jour vers le build 9397 (version 7.4.3 build 9397). Adobe recommande egalement d'appliquer le ColdFusion Lockdown Guide sur toutes les instances apres installation du patch, afin de durcir la configuration par defaut et de reduire la surface d'attaque residuelle. D'apres le bulletin Adobe Security du 1er juillet 2026 repris par The Hacker News et BleepingComputer, aucune de ces neuf failles n'a de preuve d'exploitation in-the-wild au moment de la publication — mais cela peut changer rapidement.

Impact et exposition

Adobe ColdFusion demeure present dans les environnements d'entreprise d'Amerique du Nord et d'Europe, notamment dans les secteurs financier, de la sante, de l'education superieure et des administrations. Malgre une part de marche limitee face aux frameworks modernes, ColdFusion se retrouve frequemment dans des applications metier critiques exposees sur Internet, parfois maintenues depuis des annees sans mises a jour regulieres. En France, plusieurs grandes entreprises du secteur tertiaire et quelques administrations utilisent ColdFusion pour des portails clients ou des applications internes. La caracteristique de non-authentification requise pour l'exploitation de ces failles signifie que tout serveur ColdFusion accessible sur Internet est a risque immediat des la diffusion publique des details techniques.

Adobe Campaign Classic v7 est utilise par des grandes entreprises comme outil de marketing automation avec une composante on-premise. Ses API sont generalement accessibles depuis le reseau interne, mais dans les deploiements hybrides, certains composants peuvent etre exposes sur Internet pour le tracking des emails et la gestion des formulaires. Les organisations ayant des equipes marketing utilisant Campaign Classic on-premise doivent imperativement verifier leur version et appliquer le patch build 9397, meme si aucun composant n'est directement expose sur Internet, car l'exploitation peut provenir d'un attaquant ayant un acces reseau interne.

L'absence d'exploitation confirmee ne doit pas induire de fausse securite. Pour des failles CVSS 10.0 sans authentification requise, les groupes APT et les operateurs de ransomware effectuent des scans massifs d'Internet des la publication d'un bulletin pour identifier les systemes non patches. D'apres SOCRadar, plusieurs campagnes d'exploitation opportuniste de failles ColdFusion ont debute dans les heures suivant la publication d'advisories similaires par le passe. Les organisations qui n'appliquent pas le patch dans les 48 a 72 premieres heures s'exposent a une probabilite significativement accrue de compromission.

Recommandations immediates

  • Mettre a jour ColdFusion 2023 vers l'Update 14 et ColdFusion 2025 vers l'Update 4 — Adobe Security Bulletin APSB publie le 1er juillet 2026 (ColdFusion)
  • Mettre a jour Campaign Classic v7 vers le build 9397 — Adobe Security Bulletin APSB publie le 1er juillet 2026 (Campaign Classic). Les instances hebergees Adobe ne necessitent aucune action.
  • Appliquer le ColdFusion Lockdown Guide apres installation du patch pour durcir la configuration par defaut et desactiver les fonctionnalites non utilisees
  • Verifier l'exposition Internet de vos instances ColdFusion et les proteger par un WAF en attendant ou en complement du patch, en bloquant les acces a /CFIDE/ depuis Internet
  • Inspecter les journaux d'acces ColdFusion (cfserver.log, exception.log) pour des signes d'exploitation anterieure : requetes inhabituelles vers les endpoints d'administration, erreurs de deserialisation, upload de fichiers inattendus
  • Pour Campaign Classic : auditer les logs d'acces API et l'arborescence des fichiers deployes pour detecter tout webshell ou fichier non attendu

⚠ Urgence maximale — Priority 1, CVSS 10.0

Sept vulnerabilites CVSS 10.0 dans Adobe ColdFusion et Campaign Classic — severite maximale, exploitation sans authentification requise. Adobe a classifie ces correctifs Priority 1. ColdFusion est historiquement exploite dans les heures suivant la publication d'une faille. N'attendez pas votre prochaine fenetre de maintenance : appliquez les patches immediatement.

Comment savoir si je suis vulnerable ?

Pour ColdFusion : connectez-vous a l'interface d'administration ColdFusion Administrator (accessible via /CFIDE/administrator/ sur le serveur) et consultez la version sous "Server Settings > Version Information". Si vous etes en ColdFusion 2023 Update 13 ou anterieur, ou ColdFusion 2025 Update 3 ou anterieur, vous etes vulnerable. Pour Campaign Classic v7 : dans la console cliente Adobe Campaign, allez dans Help > About Adobe Campaign et verifiez le numero de build. Tout build 9396 ou anterieur est vulnerable. Vous pouvez egalement executer nlserver pdump sur le serveur pour afficher la version complete du service.

Votre infrastructure Adobe est-elle exposee ?

Ayi NEDJIMI realise des audits cibles pour identifier et corriger vos vulnerabilites ColdFusion et Campaign Classic.

Demander un audit