CISA orders feds to patch max severity ColdFusion flaw by Friday
Mis à jour :
Urgence cybersécurité : Correction critique pour Adobe ColdFusion
La CISA a ordonné aux agences fédérales américaines de corriger d’ici ce vendredi une vulnérabilité critique activement exploitée au sein de la plateforme Adobe ColdFusion.
Points clés :
- Exploitation active : Des cyberattaquants exploitent la faille seulement deux heures après sa divulgation par Adobe.
- Action réglementaire : La CISA a intégré la faille dans son catalogue de vulnérabilités connues exploitées (KEV) et contraint les agences fédérales à intervenir sous peine de non-conformité à la directive BOD 26-04.
- Exposition : Près de 800 instances de serveurs ColdFusion sont actuellement identifiées comme exposées sur Internet.
Vulnérabilité :
- CVE-2026-48282 : Faille de sévérité maximale affectant ColdFusion (versions 2025.9, 2023.20 et antérieures). Elle permet à un attaquant distant, sans privilèges, d’exécuter du code arbitraire sur les systèmes vulnérables via une attaque de faible complexité.
Recommandations :
- Mise à jour immédiate : Appliquer les correctifs de sécurité fournis par Adobe sans délai.
- Surveillance : Les administrateurs réseau doivent auditer leurs infrastructures pour identifier et protéger toute instance ColdFusion exposée publiquement.
- Priorisation : En raison du risque élevé d’exploitation automatisée, cette mise à jour doit être traitée comme une priorité absolue pour tous les systèmes utilisant cette plateforme.
