CISA exige correção urgente de falha no Adobe ColdFusion por órgãos dos EUA após ataques reais
A agência de segurança cibernética dos EUA instrui órgãos federais a atualizarem urgentemente o Adobe ColdFusion, após descobrir uma vulnerabilidade crítica sendo ativamente explorada.
A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu uma diretriz urgente para que as agências federais dos EUA atualizem os patches de segurança para o Adobe ColdFusion, uma plataforma para desenvolvimento de aplicativos web. Esta diretriz surge após a descoberta de uma vulnerabilidade de segurança crítica, identificada como CVE-2026-48282. Trata-se de uma falha de "Path Traversal" (uma técnica para acessar arquivos fora dos limites definidos) que afeta as versões 2025.9, 2023.20 e anteriores do ColdFusion. Essa vulnerabilidade permite que agentes mal-intencionados executem código arbitrário remotamente no sistema sem a necessidade de privilégios de acesso complexos. Preocupantemente, a CISA confirmou que ataques a esta vulnerabilidade já estão ocorrendo na prática, o que levou à sua adição ao catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV) em 7 de julho de 2026. A Adobe havia lançado um patch corretivo uma semana antes, recomendando que os usuários o instalassem o mais rápido possível. Enquanto isso, pesquisadores da KEVIntel relataram ter detectado tentativas de ataque em menos de duas horas após os detalhes da falha serem divulgados publicamente.
Embora esta diretriz se aplique a órgãos do governo dos EUA, empresas e organizações na Tailândia que utilizam o Adobe ColdFusion também correm alto risco e devem atualizar os patches de segurança com urgência para evitar ataques.