CISA orders feds to patch max severity ColdFusion flaw by Friday

1 minute de lecture

Mis à jour :

Urgence cybersécurité : Correction critique pour Adobe ColdFusion

La CISA a ordonné aux agences fédérales américaines de corriger d’ici ce vendredi une vulnérabilité critique activement exploitée au sein de la plateforme Adobe ColdFusion.

Points clés :

  • Exploitation active : Des cyberattaquants exploitent la faille seulement deux heures après sa divulgation par Adobe.
  • Action réglementaire : La CISA a intégré la faille dans son catalogue de vulnérabilités connues exploitées (KEV) et contraint les agences fédérales à intervenir sous peine de non-conformité à la directive BOD 26-04.
  • Exposition : Près de 800 instances de serveurs ColdFusion sont actuellement identifiées comme exposées sur Internet.

Vulnérabilité :

  • CVE-2026-48282 : Faille de sévérité maximale affectant ColdFusion (versions 2025.9, 2023.20 et antérieures). Elle permet à un attaquant distant, sans privilèges, d’exécuter du code arbitraire sur les systèmes vulnérables via une attaque de faible complexité.

Recommandations :

  • Mise à jour immédiate : Appliquer les correctifs de sécurité fournis par Adobe sans délai.
  • Surveillance : Les administrateurs réseau doivent auditer leurs infrastructures pour identifier et protéger toute instance ColdFusion exposée publiquement.
  • Priorisation : En raison du risque élevé d’exploitation automatisée, cette mise à jour doit être traitée comme une priorité absolue pour tous les systèmes utilisant cette plateforme.

Source