Threats
Uma vulnerabilidade crítica no Adobe ColdFusion, corrigida a 30 de junho, começou a ser explorada poucas horas após a divulgação pública, segundo investigadores de segurança
09/07/2026
|
Uma vulnerabilidade crítica no Adobe ColdFusion está a ser explorada ativamente por cibercriminosos poucos dias depois de a Adobe ter disponibilizado uma correção de segurança. Identificada como CVE-2026-48282, a falha tem uma classificação máxima de dez na escala CVSS e resulta de uma vulnerabilidade de path traversal que pode permitir a execução remota de código arbitrário. A Adobe corrigiu a vulnerabilidade a 30 de junho, juntamente com outras cinco falhas igualmente classificadas com a pontuação máxima de gravidade. As correções foram disponibilizadas nas versões ColdFusion 2025 Update 10 e ColdFusion 2023 Update 21. Na altura, a empresa afirmou não ter conhecimento de exploração ativa das vulnerabilidades, mas atribuiu à atualização a classificação de prioridade um, recomendando a sua instalação imediata devido ao elevado risco de ataques. Contudo, segundo a plataforma de inteligência de vulnerabilidades KEVIntel, os primeiros ataques começaram apenas duas horas após a divulgação pública da vulnerabilidade. O fundador da KEVIntel, Ryan Dewhurst, revelou que a exploração foi detetada através da rede global de honeypots da empresa. Pouco depois, também o Canadian Centre for Cyber Security confirmou que a vulnerabilidade estava a ser utilizada em ataques, com base em informação disponível publicamente. Até ao momento, a Adobe ainda não atualizou o seu aviso de segurança para refletir a exploração ativa da vulnerabilidade. |