CVE-2026-48282, traversée de répertoire CVSS 10.0 dans Adobe ColdFusion, permet un RCE non authentifié. Exploitation active confirmée, ajoutée au CISA KEV le 7 juillet 2026.
En bref
- CVE-2026-48282 : traversée de répertoire (path traversal) dans Adobe ColdFusion permettant l'écriture arbitraire de fichiers et l'exécution de code à distance non authentifiée — CVSS 10.0 Critical
- Systèmes affectés : ColdFusion 2023 (Update 20 et antérieurs), ColdFusion 2025 (Update 9 et antérieurs)
- Action urgente : mettre à jour vers ColdFusion 2023 Update 21 ou ColdFusion 2025 Update 10 — exploitation active confirmée depuis le 1er juillet 2026, CISA KEV depuis le 7 juillet 2026
Les faits
Le 1er juillet 2026, Adobe a publié un bulletin de sécurité urgent (APSB26-68) révélant neuf vulnérabilités dans ColdFusion et Adobe Campaign Classic, dont sept portent un score CVSS v3.1 de 10.0 — le maximum possible. CVE-2026-48282 est la plus critique et la plus immédiatement dangereuse du lot : c'est la première à avoir été confirmée exploitée dans la nature, et celle qui a conduit CISA à ajouter ColdFusion en urgence au catalogue Known Exploited Vulnerabilities (KEV) le 7 juillet 2026, avec une échéance de correction pour les agences fédérales américaines fixée au 10 juillet 2026 — soit trois jours seulement. Le vecteur CVSS complet est CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H, décrivant une faille exploitable via réseau, sans complexité particulière, sans aucune authentification requise, sans interaction de la victime, avec impact total et portée étendue.
La faille réside dans le composant Remote Development Services (RDS) de ColdFusion, précisément dans le handler FILEIO du service RDS. RDS est un service conçu pour permettre aux développeurs ColdFusion d'interagir à distance avec le système de fichiers et les bases de données du serveur lors du développement. En environnement de production, RDS devrait être désactivé — mais un nombre significatif de déploiements ColdFusion d'entreprise et gouvernementaux laissent cette fonctionnalité activée par inadvertance, ou l'exposent via des proxys inverses mal configurés. L'endpoint vulnérable est accessible par défaut sur le port 8500 (HTTP) ou 443/8080 si ColdFusion est configuré derrière un reverse proxy.
La cause technique est une traversée de répertoire classique (CWE-22) : le handler FILEIO accepte un paramètre de chemin de fichier sans canonicalisation ni vérification de frontière de répertoire adéquate. Un attaquant non authentifié peut soumettre un chemin contenant des séquences de traversée (../../../) qui échappent au répertoire de travail prévu et écrivent du contenu contrôlé par l'attaquant à n'importe quel emplacement du système de fichiers pour lequel le compte de service ColdFusion dispose de droits d'écriture. Sur un serveur ColdFusion typique, cela signifie concrètement la possibilité d'écrire directement dans la racine web ou dans le répertoire CFIDE/ — le répertoire d'interface administrative de ColdFusion, présent sur pratiquement tous les serveurs ColdFusion et accessible via HTTP.
La chaîne d'exploitation complète se déroule en trois étapes. Premièrement, une requête HTTP forgée exploite CVE-2026-48282 via le handler FILEIO de RDS pour écrire un fichier .cfm contenant du code CFML malveillant (un webshell) dans un répertoire accessible via web. Deuxièmement, l'attaquant récupère ce fichier webshell via une requête HTTP ordinaire, ce qui provoque son exécution côté serveur par le moteur ColdFusion. Troisièmement, l'attaquant dispose d'un shell interactif avec les droits du processus ColdFusion, permettant l'exécution de commandes OS arbitraires, le vol de credentials, l'exfiltration de données et le mouvement latéral. La faille est donc un pre-auth RCE sans restriction, exploitable depuis Internet en quelques secondes par un script automatisé.
Selon BleepingComputer et The Hacker News, des chercheurs indépendants ont confirmé que l'exploitation a débuté dans les deux heures suivant la divulgation publique d'Adobe le 1er juillet 2026 — un délai record témoignant de la disponibilité préexistante d'outillage d'exploitation ColdFusion dans les arsenaux des attaquants. ColdFusion a historiquement été une cible de haute valeur en raison de sa prévalence dans les portails web gouvernementaux, les établissements de services financiers et les systèmes de santé aux États-Unis. L'advisory Adobe APSB26-68 confirme explicitement des attaques ciblées limitées dans la nature au moment de la divulgation publique.
Du point de vue de la threat intelligence, les campagnes observées ciblant CVE-2026-48282 suivent un schéma cohérent avec les activités de courtiers d'accès initial (Initial Access Brokers) : déploiement rapide de webshells, harvesting de credentials stockés dans la configuration ColdFusion (datasources, mots de passe d'administration), staging d'outils de mouvement latéral, et dans certains cas des précurseurs d'attaque ransomware. La qualification KEV par CISA avec un délai de remédiation de trois jours seulement — le délai minimum accordé par l'agence — signale une exploitation active à volume significatif au niveau fédéral américain. Qualys ThreatPROTECT a publié une analyse détaillée le 2 juillet 2026 confirmant la criticité de la faille et la nécessité d'une action immédiate.
Un facteur aggravant est la persistance historique des versions non patchées de ColdFusion en production. Contrairement aux environnements web modernes avec des pipelines CI/CD automatisés, de nombreuses installations ColdFusion sont des applications legacy gérées manuellement, où les mises à jour sont retardées par crainte de rupture de compatibilité. L'outil Shodan indexe régulièrement des milliers de serveurs ColdFusion exposés directement sur Internet, dont une fraction significative présente des versions non corrigées. Dans ce contexte, CVE-2026-48282 représente une menace immédiate pour chaque instance ColdFusion non mise à jour et accessible depuis un réseau non contrôlé.
Pour les organisations utilisant Adobe ColdFusion dans des contextes où la mise à jour immédiate est complexe (applications legacy, contraintes de validation), plusieurs mesures de mitigation opérationnelles sont disponibles en attendant le patch. Premièrement, désactiver RDS dans l'administrateur ColdFusion (Server Settings > Security > RDS) si ce n'est pas déjà fait. Deuxièmement, configurer des règles de contrôle d'accès au niveau du serveur web (Apache, IIS, nginx) pour bloquer l'accès aux endpoints /CFIDE/main/ide.cfm et /flex2gateway/. Troisièmement, déployer une règle WAF bloquant les patterns de traversée de répertoire dans les paramètres de requêtes destinées aux endpoints ColdFusion. Ces mesures doivent être traitées comme temporaires — l'application du patch reste la seule remédiation définitive.
Impact et exposition
CVE-2026-48282 affecte tous les serveurs Adobe ColdFusion 2023 non mis à jour vers Update 21 et ColdFusion 2025 non mis à jour vers Update 10. Toute instance ColdFusion avec RDS activé et accessible depuis un réseau non maîtrisé est exploitable sans authentification. Les secteurs les plus exposés sont le secteur public (portails gouvernementaux américains), les services financiers, la santé et l'éducation, qui concentrent historiquement les déploiements ColdFusion d'entreprise.
L'absence de tout prérequis d'authentification (PR:N) signifie que n'importe quel attaquant disposant d'une connexion réseau vers le port ColdFusion peut exploiter la faille. Un script générique peut scanner et compromettre automatiquement des milliers de serveurs ColdFusion vulnérables en parallèle, en combinant l'identification via Shodan/Censys et l'exploitation automatisée via un module Nuclei ciblant CVE-2026-48282.
L'impact d'une exploitation réussie est total : exécution de code arbitraire avec les droits du processus ColdFusion (souvent SYSTEM ou root sur les installations par défaut), accès complet au système de fichiers, exfiltration des données applicatives et configurations (strings de connexion aux bases de données, clés API, mots de passe ColdFusion Administrator), compromission de l'ensemble des bases de données accessibles via les datasources ColdFusion, et possibilité de mouvement latéral vers les systèmes internes adjacents.
La CISA a classé CVE-2026-48282 dans son catalogue KEV le 7 juillet 2026 avec une deadline fédérale au 10 juillet — trois jours, le délai minimal accordé par l'agence. Ce signal d'alarme s'applique avec la même urgence pour les organisations non soumises aux directives fédérales américaines. Toute instance ColdFusion non patchée accessible depuis Internet ou un réseau non contrôlé doit être considérée comme potentiellement compromise si elle n'a pas été mise à jour avant le 10 juillet 2026.
Recommandations immédiates
- Mettre à jour immédiatement vers Adobe ColdFusion 2023 Update 21 ou ColdFusion 2025 Update 10 — patches disponibles via Adobe Security Bulletin APSB26-68 (publié le 1er juillet 2026)
- Désactiver RDS dans l'administrateur ColdFusion si non requis en production : Server Settings > Security > Disable RDS
- Restreindre l'accès aux endpoints RDS (/CFIDE/main/ide.cfm et /flex2gateway/) via des règles ACL au niveau du reverse proxy (Apache, nginx, IIS)
- Analyser les journaux du serveur web pour détecter des requêtes suspectes vers les endpoints CFIDE/RDS, notamment contenant des séquences ../ ou des extensions .cfm dans des répertoires inhabituels
- Scanner les répertoires web ColdFusion (notamment CFIDE/, wwwroot/) pour détecter tout fichier .cfm récemment créé et non attendu — signe potentiel d'un webshell déposé
- Déployer des règles WAF bloquant les patterns de path traversal dans les requêtes destinées aux endpoints ColdFusion
- Vérifier l'intégrité des comptes administrateurs ColdFusion et effectuer une rotation des credentials si une compromission est suspectée
⚠️ Urgence maximale — Exploitation active confirmée
CVE-2026-48282 est activement exploitée dans la nature depuis le 1er juillet 2026 et figure dans le CISA KEV depuis le 7 juillet. Si votre serveur ColdFusion n'a pas été mis à jour vers ColdFusion 2023 Update 21 ou ColdFusion 2025 Update 10, considérez-le comme potentiellement compromis. Appliquer le patch en urgence et auditer les logs et fichiers serveur pour détecter tout webshell ou activité suspecte.
Comment savoir si je suis vulnérable ?
Connectez-vous à l'administrateur ColdFusion (généralement sur /CFIDE/administrator/) et vérifiez la version dans Server Settings > Version Information. Si vous êtes sur ColdFusion 2023 Update 20 ou antérieur, ou ColdFusion 2025 Update 9 ou antérieur, vous êtes vulnérable. Vérifiez également si RDS est activé : Server Settings > ColdFusion Administrator > Security > RDS Security. Si RDS est activé et votre serveur est accessible depuis Internet, le risque d'exploitation est immédiat.
Votre infrastructure est-elle exposée ?
Ayi NEDJIMI réalise des audits ciblés pour identifier et corriger vos vulnérabilités applicatives critiques.
Demander un auditÀ propos de l'auteur
Ayi NEDJIMI
Auditeur Senior Cybersécurité & Consultant IA
Expert Judiciaire — Cour d'Appel de Paris
Habilitation Confidentiel Défense
[email protected]
Ayi NEDJIMI est un vétéran de la cybersécurité avec plus de 25 ans d'expérience sur des missions critiques. Ancien développeur Microsoft à Redmond sur le module GINA (Windows NT4) et co-auteur de la version française du guide de sécurité Windows NT4 pour la NSA.
À la tête d'Ayi NEDJIMI Consultants, il réalise des audits Lead Auditor ISO 42001 et ISO 27001, des pentests d'infrastructures critiques, du forensics et des missions de conformité NIS2 / AI Act.
Conférencier international (Europe & US), il a formé plus de 10 000 professionnels.
Domaines d'expertise
Ressources & Outils de l'auteur
Testez vos connaissances
Mini-quiz de certification lié à cet article — propulsé par CertifExpress
Articles connexes
WordPress wp2shell (CVE-2026-63030) : RCE pré-authentifiée dans l'API REST batch — analyse complète et remédiation
WordPress vient de corriger en urgence deux vulnérabilités critiques dans son cœur — dont une RCE pré-authentifiée baptisée wp2shell qui permet l'exécution de code arbitraire sur n'importe quelle installation WordPress 6.9 ou 7.0 sans le moindre compte utilisateur. Si votre site n'est pas encore à j
LegacyHive : 0-Day Windows LPE sans patch, PoC publié
LegacyHive est un zero-day non patché dans le Windows User Profile Service permettant une escalade de privilèges vers SYSTEM. PoC publié le 15 juillet 2026, aucun correctif Microsoft disponible.
CVE-2026-44747 : Mémoire SAP NetWeaver ABAP CVSS 9.9
CVE-2026-44747, faille out-of-bounds write CVSS 9.9 dans SAP NetWeaver AS ABAP, menace l'ensemble des déploiements ERP SAP mondiaux. Appliquez SAP Note 3747367 sans délai.
Un projet cybersécurité ? Parlons-en.
Pentest, conformité NIS 2, ISO 27001, audit IA, RSSI externalisé… nos experts répondent sous 24h pour évaluer votre besoin et vous proposer un accompagnement sur mesure.
Commentaires
Aucun commentaire pour le moment. Soyez le premier à commenter !
Laisser un commentaire