Path traversal CVSS 10.0 dans le composant RDS de ColdFusion permettant l'écriture de webshells sans authentification. CISA KEV le 8 juillet 2026, environ 750 instances exposées sur Internet, exploitation active.
En bref
- CVE-2026-48282 : path traversal CVSS 10.0 dans le composant RDS de ColdFusion, exploitation active confirmée par watchTowr et CISA
- ColdFusion 2025 ≤ Update 9 et ColdFusion 2023 ≤ Update 20 sont vulnérables si RDS est activé sans authentification
- Appliquer ColdFusion 2025 Update 10 ou 2023 Update 21 ; désactiver RDS si non utilisé en production
Les faits
Le 8 juillet 2026, la CISA a ajouté CVE-2026-48282 à son catalogue KEV et imposé aux agences fédérales civiles américaines un délai de correction expirant le 10 juillet — soit 48 heures, l'un des mandats les plus urgents jamais émis dans ce cadre réglementaire. La décision de la CISA intervient après que watchTowr a publié une analyse technique détaillée de la vulnérabilité le 2 juillet 2026, déclenchant selon les honeypots de KEVIntel une vague d'exploitation active en quelques minutes à peine après publication.
CVE-2026-48282 affecte le composant Remote Development Services (RDS) d'Adobe ColdFusion. RDS est une fonctionnalité historique de ColdFusion, initialement conçue pour permettre aux développeurs d'accéder à distance aux fichiers et aux bases de données depuis leur environnement de développement intégré. Cette fonctionnalité est supposée être désactivée ou protégée par authentification en environnement de production, mais de nombreuses instances exposées sur Internet ont RDS activé sans authentification, par défaut lors d'installations plus anciennes ou par mauvaise configuration.
La vulnérabilité réside dans l'endpoint FILEIO du composant RDS, accessible via le chemin /CFIDE/main/ide.cfm?ACTION=FILEIO. Une séquence de traversée de répertoire (path traversal) dans les paramètres de cet endpoint permet à un attaquant non authentifié d'écrire un fichier arbitraire à n'importe quel emplacement accessible par le processus ColdFusion, y compris les répertoires web-accessibles. L'attaque type consiste à écrire un webshell CFML contenant des balises cfexecute dans un répertoire accessible depuis le navigateur, puis à y accéder via une simple requête HTTP pour obtenir une exécution de code arbitraire avec les privilèges du compte de service ColdFusion.
Adobe a publié le correctif le 30 juin 2026 (ColdFusion 2025 Update 10 et ColdFusion 2023 Update 21). watchTowr a publié son analyse technique le 2 juillet. Selon les données de Shadowserver Foundation, environ 750 instances ColdFusion exposées sur Internet n'avaient pas encore appliqué le patch au moment où l'exploitation de masse a débuté. Ce délai de deux jours entre la publication du PoC et l'exploitation généralisée confirme la vélocité désormais caractéristique de l'exploitation des vulnérabilités critiques sur des technologies héritées exposées sur Internet.
Adobe ColdFusion reste présent dans de nombreuses organisations pour des raisons historiques : applications métier développées dans les années 2000 et 2010 qui n'ont jamais été migrées, intégrations avec des bases de données Oracle ou MS SQL Server difficiles à réécrire, équipes de développement réduites incapables de maintenir une modernisation du parc applicatif. Cette dette technique se matérialise aujourd'hui par une surface d'attaque significative. CVE-2026-48282 est la quatrième vulnérabilité critique dans ColdFusion à avoir été exploitée en condition réelle au cours des trois dernières années, selon le décompte du NVD/NIST.
L'exploitation active documentée implique dans la quasi-totalité des cas l'installation d'un webshell persistant dans le répertoire CFIDE ou dans le répertoire racine de l'application web. Ces webshells sont ensuite utilisés pour l'exfiltration de données (fichiers de configuration, sources de données, secrets d'application) ou comme point de pivot pour la progression latérale vers d'autres systèmes du réseau interne. Orca Security, qui surveille les instances cloud exposées, a signalé plusieurs incidents impliquant des environnements AWS et Azure dont l'accès initial provenait d'un serveur ColdFusion compromis via CVE-2026-48282.
Les versions affectées sont ColdFusion 2025 jusqu'à l'Update 9 inclus et ColdFusion 2023 jusqu'à l'Update 20 inclus. Les versions antérieures (ColdFusion 2021 et plus anciennes) sont en fin de support et probablement vulnérables à des variantes, mais Adobe ne publie plus de correctifs pour ces versions. La condition nécessaire à l'exploitation est que le composant RDS soit activé et que son authentification soit désactivée — configuration fréquente dans les déploiements hérités.
La recommandation de chasse aux menaces est prioritaire pour les organisations ayant eu des instances ColdFusion exposées avant le 10 juillet : recherche de fichiers .cfm ou .cfml créés récemment dans les répertoires web, analyse des logs d'accès pour des requêtes vers /CFIDE/main/ide.cfm avec paramètre ACTION=FILEIO, et contrôle des processus fils lancés par le service ColdFusion sur la période concernée.
Impact et exposition
Toute instance Adobe ColdFusion exposée sur Internet avec RDS activé sans authentification, en version antérieure à 2025 Update 10 ou 2023 Update 21, est directement exploitable sans authentification préalable. L'exploitation réussie aboutit à un accès complet aux fichiers accessibles par le service ColdFusion, à l'exécution de code arbitraire sur le serveur et, très fréquemment, à un pivot vers le réseau interne. Les secteurs de la santé, des finances, de l'administration publique et de l'industrie, où ColdFusion est historiquement présent dans les applications legacy, présentent le niveau d'exposition le plus élevé.
Recommandations
- Appliquer immédiatement ColdFusion 2025 Update 10 ou ColdFusion 2023 Update 21
- Désactiver le composant RDS dans la console d'administration ColdFusion si cette fonctionnalité n'est pas utilisée en production
- Si RDS est requis, activer obligatoirement son authentification et restreindre l'accès à l'adresse IP du développeur concerné via le pare-feu
- Rechercher dans les logs serveur toute requête vers
/CFIDE/main/ide.cfmavec paramètre ACTION=FILEIO sur les 10 derniers jours - Scanner le répertoire web pour détecter tout fichier .cfm ou .cfml créé récemment qui n'appartient pas au code applicatif connu
- Si une compromission est suspecte, isoler le serveur, préserver les logs, et déclencher une procédure de réponse à incident avant toute autre action
Alerte critique
CVE-2026-48282 est activement exploité pour déployer des webshells persistants sur les serveurs Adobe ColdFusion exposés. CVSS 10.0, sans authentification requise, exploitation possible en quelques minutes après la publication du PoC. Si votre serveur ColdFusion était accessible depuis Internet avant le 10 juillet et qu'il n'était pas encore patché, une investigation de compromission est indispensable avant tout retour en production.
Comment vérifier rapidement si RDS est activé et exposé sur notre serveur ColdFusion ?
Depuis l'extérieur, tentez d'accéder à l'URL /CFIDE/main/ide.cfm sur votre serveur. Si la page répond sans demander de mot de passe, RDS est activé sans authentification et votre serveur est vulnérable. Depuis la console d'administration ColdFusion accessible en local, vérifiez dans les paramètres RDS si la fonctionnalité est activée et si le mot de passe RDS est configuré. L'idéal en production est de désactiver complètement RDS et de bloquer l'accès au répertoire /CFIDE/ depuis Internet via votre WAF ou votre serveur web frontal.
Votre infrastructure est-elle exposée ?
Ayi NEDJIMI réalise des audits de sécurité ciblés pour identifier et corriger vos vulnérabilités avant qu'elles ne soient exploitées.
Demander un auditÀ propos de l'auteur
Ayi NEDJIMI
Auditeur Senior Cybersécurité & Consultant IA
Expert Judiciaire — Cour d'Appel de Paris
Habilitation Confidentiel Défense
[email protected]
Ayi NEDJIMI est un vétéran de la cybersécurité avec plus de 25 ans d'expérience sur des missions critiques. Ancien développeur Microsoft à Redmond sur le module GINA (Windows NT4) et co-auteur de la version française du guide de sécurité Windows NT4 pour la NSA.
À la tête d'Ayi NEDJIMI Consultants, il réalise des audits Lead Auditor ISO 42001 et ISO 27001, des pentests d'infrastructures critiques, du forensics et des missions de conformité NIS2 / AI Act.
Conférencier international (Europe & US), il a formé plus de 10 000 professionnels.
Domaines d'expertise
Ressources & Outils de l'auteur
Articles connexes
JetBrains : bypass auth CVSS 9.8 sur Hub et YouTrack, chaîne RCE vers TeamCity et IntelliJ
Chaîne de vulnérabilités critique dans l'écosystème JetBrains on-premise : bypass auth CVSS 9.8 sur Hub/YouTrack (CVE-2026-56141) combiné à des RCE sur TeamCity et IntelliJ, compromettant l'intégralité des pipelines CI/CD.
CVE-2026-48558 : SimpleHelp RMM CVSS 10.0, attaques supply chain MSP avec Djinn Stealer
Bypass d'authentification OIDC sans interaction dans SimpleHelp RMM. CVSS 10.0 exploité activement depuis juin 2026 : déploiement de TaskWeaver et Djinn Stealer sur les endpoints de tous les clients MSP victimes.
Apple perd en Europe : le DMA s'impose sur l'App Store
Le Tribunal général de l'UE a rejeté le 8 juillet 2026 le recours d'Apple contre sa désignation comme gatekeeper DMA. L'App Store reste contraint à l'ouverture aux boutiques et paiements alternatifs.
Un projet cybersécurité ? Parlons-en.
Pentest, conformité NIS 2, ISO 27001, audit IA, RSSI externalisé… nos experts répondent sous 24h pour évaluer votre besoin et vous proposer un accompagnement sur mesure.
Commentaires
Aucun commentaire pour le moment. Soyez le premier à commenter !
Laisser un commentaire