cyber-3324202_640.jpg

Falha crítica é explorada no Adobe ColdFusion

Atacantes estão explorando uma vulnerabilidade de gravidade máxima no Adobe ColdFusion, registrada como CVE-2026-48282, conforme alertou ontem a empresa de inteligência em vulnerabilidades KEVIntel. A falha afeta as versões 2025.9, 2023.20 e anteriores da plataforma de desenvolvimento de aplicações web e pode ser explorada por atacantes não autenticados para obter execução remota de código em sistemas não corrigidos.

Exploração rápida e alertas

A Adobe publicou atualizações de segurança para resolver a vulnerabilidade, afirmando que ela apresentava alto risco de exploração e instando os administradores a aplicarem os patches imediatamente, idealmente dentro de 72 horas. Dois dias depois, o fundador da KEVIntel, Ryan Dewhurst, alertou que atores de ameaça começaram a explorar a vulnerabilidade em menos de duas horas após a divulgação pública da Adobe. “Em menos de duas horas após a divulgação pública dos detalhes da CVE-2026-48282, a KEVIntel capturou exploração ativa em nossa rede global de honeypots”, afirmou Dewhurst.

Exposição e histórico de vulnerabilidades

O Shadowserver, organização de vigilância de segurança na internet, monitora atualmente quase 800 instâncias do Adobe ColdFusion expostas online, mas não há informações sobre quantas são honeypots ou já foram protegidas contra ataques direcionados à CVE-2026-48282. Na semana passada, a Adobe já havia lançado patches para seis falhas de gravidade máxima no ColdFusion e na plataforma de automação de marketing Campaign Classic, todas exploráveis por meio de ataques de baixa complexidade que não requerem interação do usuário. A empresa ainda não classificou nenhuma delas como ativamente explorada, afirmando que “não tem conhecimento de qualquer exploração ativa para qualquer um dos problemas abordados nessas atualizações”.

Histórico de ataques a produtos Adobe

Em abril, a Adobe publicou atualizações emergenciais para corrigir uma vulnerabilidade no Acrobat Reader (CVE-2026-34621) que vinha sendo explorada em ataques zero-day por pelo menos quatro meses, desde dezembro de 2025. Desde novembro de 2021, a CISA incluiu 79 vulnerabilidades em produtos Adobe em seu catálogo de falhas ativamente exploradas, sendo 10 delas também abusadas em ataques de ransomware.