En bref

  • CVE-2026-48282 : path traversal CVSS 10.0 dans Adobe ColdFusion, RCE sans authentification via le composant RDS FILEIO
  • Versions affectées : ColdFusion 2025 Update 9 et antérieures, ColdFusion 2023 Update 20 et antérieures
  • Action requise : appliquer ColdFusion 2025 Update 10 ou ColdFusion 2023 Update 21 immédiatement — délai imposé aux agences fédérales américaines : 10 juillet 2026

Les faits

Adobe a publié le 7 juillet 2026 un bulletin de sécurité d'urgence (APSB26-68) révélant CVE-2026-48282, une vulnérabilité de traversée de chemin (path traversal) affectant Adobe ColdFusion dans ses versions 2025 Update 9 et antérieures ainsi que ColdFusion 2023 Update 20 et antérieures. Le score CVSS 3.1 est de 10.0, le niveau maximal de criticité. La faille est classifiée CWE-22 (Improper Limitation of a Pathname to a Restricted Directory).

La vulnérabilité réside dans le composant Remote Development Services (RDS), plus précisément dans le gestionnaire FILEIO accessible via l'endpoint /CFIDE/main/ide.cfm?ACTION=FILEIO. Une validation insuffisante des chemins de fichiers dans ce gestionnaire permet à un attaquant d'écrire des fichiers arbitraires sur le système de fichiers du serveur sans aucune authentification, à condition que l'authentification RDS soit désactivée — configuration fréquente dans les déploiements par défaut ou hérités. En pratique, l'attaquant dépose un webshell CFML contenant des tags cfexecute, obtenant ainsi une exécution de code à distance (RCE) complète sous le compte de service ColdFusion.

Selon la plateforme d'intelligence de vulnérabilités KEVIntel, les premiers exploits dans la nature ont été détectés moins de deux heures après la publication du bulletin Adobe le 7 juillet 2026. Cette rapidité d'exploitation — parfois désignée sous le terme de weaponization gap — illustre la capacité des groupes cybercriminels à automatiser la conversion de correctifs en outils d'attaque opérationnels. La CISA (Cybersecurity and Infrastructure Security Agency) a ajouté CVE-2026-48282 à son catalogue KEV (Known Exploited Vulnerabilities) dès le 7 juillet 2026, avec une date butoir imposée aux agences civiles fédérales américaines fixée au 10 juillet 2026 — un délai inhabituellement court de 72 heures qui traduit la sévérité de la menace.

Adobe ColdFusion est une plateforme de développement d'applications web présente dans des milliers d'entreprises, d'administrations publiques et d'établissements d'enseignement supérieur, notamment aux États-Unis. Les instances exposées directement sur Internet constituent des cibles prioritaires, en particulier celles qui n'ont pas maintenu une politique de mises à jour régulières. D'après des données de recensement Internet relayées par les équipes de Tenable et Greenbone au cours de la semaine du 7 juillet 2026, plusieurs milliers d'instances ColdFusion restent accessibles publiquement via leur interface RDS, dont une fraction non négligeable fonctionne sous des versions obsolètes antérieures à 2023.

La chaîne d'exploitation technique documentée par les chercheurs d'Akamai et d'Orca Security se déroule en trois étapes distinctes. Première étape : envoi d'une requête HTTP POST spécialement forgée vers l'endpoint RDS vulnérable, avec un paramètre de chemin contenant une séquence de traversée encodée pointant vers un répertoire accessible par le serveur web. Deuxième étape : écriture d'un fichier CFML malveillant (webshell) dans ce répertoire, généralement /CFIDE/ ou /cfide/scripts/ selon la configuration du serveur. Troisième étape : exécution de commandes arbitraires via des requêtes HTTP ordinaires adressées au webshell déposé. L'ensemble de la chaîne prend moins de trente secondes sur un serveur non patché, sans aucune interaction humaine côté victime.

La faille s'inscrit dans un contexte historique préoccupant pour ColdFusion. En 2023 et 2024, des vulnérabilités similaires — CVE-2023-26360 (CVSS 9.8) et CVE-2024-36159 (CVSS 9.1) — avaient été massivement exploitées par des acteurs étatiques et des groupes cybercriminels pour compromettre des agences gouvernementales américaines, des hôpitaux et des universités. La CISA et le FBI avaient alors publié des alertes conjointes soulignant la tendance des groupes APT à cibler ColdFusion comme vecteur d'accès initial. Cette récurrence établit ColdFusion comme une cible systématique, non comme une victime occasionnelle.

Adobe a diffusé des correctifs pour les deux branches supportées : ColdFusion 2025 Update 10 et ColdFusion 2023 Update 21. Les versions antérieures à ColdFusion 2023 ne bénéficient plus d'aucun support et ne recevront pas de correctif. Les organisations utilisant ColdFusion 2021, 2018, ou des versions encore plus anciennes doivent considérer une migration en urgence car elles restent exposées à CVE-2026-48282 et à toutes les vulnérabilités antérieures sans recours possible. En complément du patch, Adobe recommande explicitement de désactiver le service RDS en production si celui-ci n'est pas strictement nécessaire, et de restreindre l'accès au répertoire /CFIDE aux seules adresses IP de confiance via la configuration du serveur web ou un WAF.

La Talos Intelligence de Cisco a publié le 8 juillet 2026 des règles Snort (SIDs 64821, 64822) permettant de détecter les tentatives d'exploitation de CVE-2026-48282 dans les flux réseau. Les équipes SOC peuvent également surveiller les événements de création de fichiers dans les répertoires web de ColdFusion, en particulier toute création de fichiers .cfm ou .jsp par le processus ColdFusion Server, qui n'a normalement aucune raison d'écrire de nouveaux fichiers en dehors des mises à jour planifiées. Le bulletin Adobe APSB26-68 corrigeait au total sept vulnérabilités CVSS 10.0, dont plusieurs autres composants de ColdFusion et d'Adobe Campaign Classic — renforçant l'importance d'appliquer l'intégralité du bulletin.

Alerte critique

CVE-2026-48282 est activement exploitée dans la nature avec un score CVSS 10.0. Des webshells ont été déposés sur des serveurs non patchés dans les deux heures suivant la divulgation. Patcher immédiatement vers ColdFusion 2025 Update 10 ou 2023 Update 21. Si le patch ne peut pas être appliqué dans l'heure, désactiver le service RDS ou bloquer l'accès à /CFIDE depuis Internet en urgence via pare-feu ou WAF.

Impact et exposition

Toute organisation exposant une instance Adobe ColdFusion sur Internet en version antérieure à ColdFusion 2025 Update 10 ou ColdFusion 2023 Update 21 est directement exposée à une compromission complète du serveur. L'exploitation ne requiert ni identifiant valide, ni position privilégiée sur le réseau : un attaquant depuis n'importe quel point d'Internet peut obtenir un shell complet en quelques dizaines de secondes. Les secteurs les plus exposés sont l'administration publique américaine, l'enseignement supérieur, la santé et les éditeurs de logiciels CFML. En France, des instances existent dans certaines administrations et groupes industriels ayant déployé des applications CFML dans les années 2000 à 2010 sans migration. Une compromission ColdFusion donne accès à la base de données applicative, aux fichiers de configuration contenant des secrets (clés API, credentials LDAP, chaînes de connexion), et constitue un point de pivot vers le reste du SI interne.

Recommandations

  • Appliquer immédiatement ColdFusion 2025 Update 10 ou ColdFusion 2023 Update 21 — traiter comme un incident en cours, pas comme une maintenance planifiée
  • Si le patch ne peut être appliqué sous 4 heures : désactiver RDS dans l'administrateur ColdFusion et bloquer l'accès à /CFIDE/main/ide.cfm au niveau WAF ou pare-feu applicatif
  • Inspecter immédiatement les logs d'accès à la recherche de requêtes POST vers /CFIDE/main/ide.cfm avec le paramètre ACTION=FILEIO — leur présence indique une tentative ou une exploitation réussie
  • Lancer un find récursif sur les répertoires web ColdFusion pour identifier tout fichier .cfm ou .jsp créé ou modifié depuis le 7 juillet 2026
  • Pour les versions ColdFusion 2021 et antérieures sans correctif disponible : planifier la migration en urgence, couper l'exposition Internet en attendant

Désactiver RDS suffit-il si je ne peux pas patcher immédiatement ?

Désactiver RDS dans l'administrateur ColdFusion supprime l'endpoint vulnérable et bloque le vecteur d'exploitation principal de CVE-2026-48282. C'est une mesure d'atténuation valide à court terme. Cependant, le bulletin APSB26-68 corrige sept vulnérabilités CVSS 10.0 affectant d'autres composants : l'application du patch reste obligatoire. La désactivation de RDS n'est qu'un filet temporaire de quelques heures, pas une solution définitive. Si votre environnement utilise RDS pour le développement, basculez sur une connexion VPN dédiée plutôt que d'exposer le service sur Internet.

Votre infrastructure est-elle exposée ?

Ayi NEDJIMI réalise des audits de sécurité ciblés pour identifier et corriger vos vulnérabilités avant qu'elles ne soient exploitées.

Demander un audit