CVE-2026-47928 : Adobe ColdFusion RCE non-auth CVSS 9.6 Priority 1

Les faits

Dans le cadre de son cycle de mises à jour de sécurité de juin 2026, Adobe a publié le bulletin de sécurité APSB26-64 adressant plusieurs vulnérabilités critiques dans Adobe ColdFusion, dont CVE-2026-47928, une vulnérabilité de validation d'entrée incorrecte (improper input validation) permettant l'exécution de code arbitraire à distance sans authentification. Avec un score CVSS 3.1 de 9.6 et une classification Priority 1 par Adobe — le niveau d'urgence maximal réservé aux vulnérabilités susceptibles d'être exploitées imminamment — CVE-2026-47928 exige une réponse immédiate de toutes les organisations utilisant Adobe ColdFusion.

CVE-2026-47928 est causée par un défaut de validation des données d'entrée (improper input validation) dans le moteur de traitement des requêtes de ColdFusion. Un attaquant non authentifié peut envoyer des requêtes HTTP spécialement forgées vers un serveur ColdFusion exposé pour déclencher l'exécution de code arbitraire sur le serveur. La vulnérabilité présente la caractéristique scope changed (S:C) dans son vecteur CVSS — CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H — ce qui signifie que l'exploitation peut impacter des ressources au-delà du composant ColdFusion lui-même, notamment le système d'exploitation hôte et les applications cohabitantes.

Adobe ColdFusion est un serveur d'applications web basé sur le langage CFML (ColdFusion Markup Language), très répandu dans les grandes entreprises, les administrations publiques et les universités en Amérique du Nord et en Europe. Les serveurs ColdFusion hébergent souvent des applications critiques : portails RH, systèmes de gestion documentaire, applications de traitement de formulaires, intégrations avec des bases de données d'entreprise. Cette présence dans des environnements sensibles en fait une cible de choix pour les attaquants cherchant un accès initial au réseau.

L'historique de ColdFusion en matière de vulnérabilités critiques exploitées est particulièrement préoccupant. Plusieurs CVE antérieures de ColdFusion (notamment CVE-2023-26360, CVE-2023-38204, CVE-2024-20767) ont été exploitées activement dans la nature peu après leur divulgation, par des groupes APT et des opérateurs de ransomware. La CISA a par le passé émis des alertes d'urgence spécifiques pour ColdFusion, et les équipes FortiGuard Labs de Fortinet ont documenté de nombreuses campagnes d'exploitation ciblant ColdFusion. CVE-2026-47928, avec son CVSS de 9.6 et sa classification Priority 1, s'inscrit dans cette lignée historique inquiétante.

La vulnérabilité CVE-2026-47928 a été découverte et signalée à Adobe par le chercheur AnirudhAnand, qui a également identifié deux vulnérabilités associées : CVE-2026-47932 et CVE-2026-47933. Ces trois CVE ont été corrigées simultanément dans le bulletin APSB26-64. La coordination entre le chercheur et Adobe a permis une divulgation responsable, mais la publication du bulletin ouvre une fenêtre critique pendant laquelle des acteurs malveillants peuvent tenter de rétro-ingénier les correctifs pour développer des exploits.

D'un point de vue technique, le type de vulnérabilité improper input validation dans ColdFusion peut se manifester sous différentes formes : injection de commandes OS, désérialisation non sécurisée, injection de template CFML, ou traversée de chemins dans le système de fichiers. Dans les cas antérieurs de vulnérabilités similaires sur ColdFusion, les attaquants ont systématiquement exploité ces failles pour déposer des web shells (fichiers .cfm ou .jsp) sur les serveurs victimes, établissant une persistance à long terme généralement indétectable par les antivirus classiques.

Au moment de la publication du bulletin Adobe APSB26-64, Adobe n'a pas signalé d'exploitation active de CVE-2026-47928 dans la nature, et aucun PoC public n'est disponible. Cependant, la Priority 1 attribuée par Adobe indique que l'éditeur juge le risque d'exploitation imminent. Adobe recommande aux administrateurs d'appliquer les mises à jour dans les 72 heures suivant leur disponibilité pour les vulnérabilités Priority 1. Les versions corrigées sont ColdFusion 2023.20 (branch 2023) et ColdFusion 2025.9 (branche 2025).

Il convient de noter que CVE-2026-47928 affecte ColdFusion dans deux branches de versions supportées simultanément — ColdFusion 2023 et ColdFusion 2025 — ce qui indique une vulnérabilité dans un composant fondamental partagé, probablement dans le moteur de traitement HTTP ou le parseur CFML core. Cette transversalité renforce l'urgence de patcher toutes les installations, quelle que soit la branche de version utilisée. Des scans Internet réguliers par des chercheurs en sécurité révèlent que des milliers d'instances ColdFusion accessibles publiquement présentent des versions obsolètes, indiquant une hygiène de patch insuffisante dans une fraction significative des déploiements.

Impact et exposition

Toute instance Adobe ColdFusion accessible réseau — en particulier via HTTP/HTTPS sur Internet — dans les versions ColdFusion 2023.19 ou antérieures et ColdFusion 2025.8 ou antérieures est potentiellement exposée à CVE-2026-47928. Les déploiements ColdFusion sont particulièrement fréquents dans les secteurs de l'enseignement supérieur, des administrations publiques, de la santé (systèmes de prise de rendez-vous, portails patients), et dans les grandes entreprises ayant des applications legacy développées en CFML au cours des années 2000-2010.

Une exploitation réussie de CVE-2026-47928 peut permettre à un attaquant d'obtenir l'exécution de code avec les droits du processus ColdFusion (souvent SYSTEM ou un compte de service à hauts privilèges sous Windows, ou root/www-data sous Linux). À partir de cet accès initial, l'attaquant peut exfiltrer des données stockées dans les bases de données connectées, intercepter des sessions utilisateur, déployer des ransomwares ou des cryptomineurs, ou établir une persistance via des web shells CFML pour des accès ultérieurs invisibles.

Le scope Changed du vecteur CVSS signifie que l'impact ne se limite pas à ColdFusion lui-même : d'autres applications hébergées sur le même serveur, les systèmes de fichiers partagés accessibles, et les services réseau internes joignables depuis le serveur compromis sont également à risque. Dans des architectures multi-tiers typiques, le serveur ColdFusion frontal sert souvent de passerelle vers des serveurs d'applications et de bases de données en back-end, élargissant considérablement la surface d'impact d'une exploitation réussie.

Recommandations immédiates

• Appliquer immédiatement la mise à jour Adobe ColdFusion 2023.20 (branche 2023) ou ColdFusion 2025.9 (branche 2025) — bulletin Adobe APSB26-64, Priority 1
• En attendant le patch : isoler les serveurs ColdFusion derrière un WAF configuré pour filtrer les requêtes anomales et restreindre l'accès aux seules IP légitimes
• Désactiver les fonctionnalités ColdFusion non utilisées : RDS (Remote Development Services), console administrateur si non nécessaire en production, fonctions de débogage exposées
• Rechercher des fichiers .cfm ou .jsp créés récemment sans processus de déploiement documenté comme indicateurs potentiels de web shells
• Analyser les logs d'accès du serveur web (IIS ou Apache) pour détecter des requêtes inhabituelles vers des fichiers CFML inexistants ou des endpoints administratifs
• Appliquer les recommandations du ColdFusion Security Lockdown Guide publié par Adobe pour renforcer la configuration de sécurité de base des instances ColdFusion