Adobe appelle les administrateurs à corriger sans attendre une faille critique dans ColdFusion. Atteignant un score de sévérité maximal, elle permettrait une exécution de code à distance et serait déjà exploitée contre des serveurs exposés.

Adobe corrige une faille critique dans ColdFusion, exploitée moins de deux heures après la publication du patch. © chayanuphol / Shutterstock
Adobe corrige une faille critique dans ColdFusion, exploitée moins de deux heures après la publication du patch. © chayanuphol / Shutterstock

Le délai de grâce aura été très court. Quelques heures seulement après la publication du correctif, des tentatives d’exploitation de CVE-2026-48282 auraient déjà été observées dans la nature. La vulnérabilité touche Adobe ColdFusion, une plateforme utilisée pour développer et déployer des applications web en entreprise, et concerne les versions 2025.9, 2023.20 et antérieures. Adobe avait pourtant prévenu : cette mise à jour devait être installée rapidement, idéalement dans les 72 heures.

Une faille critique qui peut ouvrir la porte au serveur

CVE-2026-48282 n’a rien d’un bug mineur. Adobe lui attribue la note maximale de gravité, soit un score CVSS de 10/10. La faille peut être exploitée à distance, sans authentification préalable, sans privilège particulier et sans interaction de la victime. Dans le pire des cas, elle permettrait à un attaquant d’exécuter du code arbitraire sur un serveur ColdFusion non patché.

Le problème relève d’un path traversal, une faiblesse qui permet de sortir du chemin de fichiers normalement autorisé. Sur un serveur exposé, ce type de faille peut vite devenir critique, notamment lorsque l’application concernée sert de porte d’entrée vers des services internes ou à des données sensibles. Les correctifs sont disponibles via ColdFusion 2025 Update 10 et ColdFusion 2023 Update 21.

Des attaques repérées presque immédiatement

D’après Ryan Dewhurst, fondateur de KEVIntel, les premières tentatives d’exploitation auraient été détectées dans des honeypots moins de deux heures après la publication des détails publics. En France, le CERT-FR a relayé l’alerte dans un avis consacré aux vulnérabilités ColdFusion. Cyberveille confirme de son côté que la faille est activement exploitée, avec une complexité d’attaque jugée faible. Aucune preuve de concept ne serait toutefois disponible en source ouverte à ce jour.

Le risque reste difficile à mesurer précisément. Shadowserver détecte encore aujourd'hui près de 900 instances Adobe ColdFusion exposées en ligne, sans pouvoir dire combien sont déjà corrigées, ni combien correspondent à des environnements de test ou à des leurres. Mais le signal est suffisant pour imposer une réaction rapide : toute instance ColdFusion accessible depuis Internet et encore vulnérable doit être mise à jour en priorité.

Meilleur antivirus : le comparatif en 2026
À découvrir
Meilleur antivirus : le comparatif en 2026
Comparatifs services