Awarely
AwarelyMonitor
Toate articolele
Alertă CVE5 min

CVE-2026-48282: vulnerabilitate CVSS 10.0 în Adobe ColdFusion, exploatată activ

CVE-2026-48282 este exact genul de vulnerabilitate pe care nu vrei să o afli cu întârziere: scor CVSS 10.0 (maximul posibil), în Adobe ColdFusion, cu execuție de cod la distanță și exploatare confirmată în lumea reală la scurt timp după dezvăluire.

CISA a adăugat-o în catalogul Known Exploited Vulnerabilities (KEV) pe 7 iulie 2026 și a impus agențiilor federale americane remedierea până pe 10 iulie 2026 — un termen de câteva zile, măsura urgenței.

Ce este, pe scurt

  • Produs afectat: Adobe ColdFusion 2025 (update 9 și anterioare) și ColdFusion 2023 (update 20 și anterioare).
  • Tip: path traversal în handler-ul RDS (Remote Development Services) FILEIO, care duce la scriere arbitrară de fișiere și, de acolo, la execuție de cod la distanță (RCE) — de exemplu prin încărcarea unui webshell CFML.
  • Scor: CVSS 10.0 — nu necesită interacțiunea utilizatorului, iar impactul depășește componenta vulnerabilă.
  • Stare: adăugată în CISA KEV pe 7 iulie 2026, cu exploatare activă raportată.

De ce e periculoasă

Un scor CVSS de 10.0 este rar și înseamnă „cel mai grav caz posibil". Combinat cu prezența în CISA KEV — adică dovadă că e exploatată acum, nu teoretic — ajunge automat în vârful oricărei liste de prioritizare corecte.

Rapoartele publice notează că exploatarea a început în câteva ore de la dezvăluire. Acesta este tiparul modern: fereastra dintre publicarea unei vulnerabilități critice și primul atac se măsoară tot mai des în ore, nu în săptămâni.

Ce faci acum

  • Actualizează la ColdFusion 2025 update 10 sau ColdFusion 2023 Update 21 — remedierea oficială Adobe.
  • Dacă nu poți actualiza imediat, verifică dacă RDS este activat și, unde nu e strict necesar, dezactivează-l sau restrânge accesul la el.
  • Verifică log-urile pentru cereri suspecte către /CFIDE/main/ide.cfm și pentru fișiere noi, neașteptate, scrise de contul serviciului ColdFusion.

Lecția de fond

Nu contează cât de bine e configurat restul infrastructurii dacă afli cu întârziere de un CVE 10.0 exploatat activ pe un produs pe care îl rulezi. Viteza de detecție este totul — iar o alertă la momentul potrivit, cu marcaj clar „exploatat activ (KEV)", face diferența dintre a repara în aceeași zi și a afla din breșă.

Fii primul care află, nu ultimul

Awarely Monitor te alertează când apare un CVE pe produsele tale, marchează vizibil vulnerabilitățile din CISA KEV (exploatat activ) și le prioritizează cu CVSS + EPSS. 14 zile trial gratuit, fără card.