Falha crítica no Adobe ColdFusion já está sendo explorada em ataques
7 de Julho de 2026

Atacantes estão explorando uma vulnerabilidade de gravidade máxima no Adobe ColdFusion, identificada como CVE-2026-48282 , alertou nesta quinta-feira o Centro Canadense de Segurança Cibernética (CCCS).

O ColdFusion é uma plataforma comercial de desenvolvimento de aplicações web voltada à criação e à implantação de sites corporativos.

A falha CVE-2026-48282 afeta as versões 2025.9, 2023.20 e anteriores do produto e pode ser explorada sem privilégios para obter execução remota de código em sistemas sem patch.

A Adobe divulgou atualizações de segurança na terça-feira para corrigir a vulnerabilidade e afirmou que o problema representava alto risco de exploração.

A empresa recomendou que administradores instalem os patches imediatamente.

"Esta atualização corrige vulnerabilidades que estão sendo alvo, ou que têm maior risco de serem alvo, de exploits em ambiente real em uma determinada versão e plataforma do produto", informou a Adobe.

"A Adobe recomenda que os administradores instalem a atualização o mais rápido possível, por exemplo, em até 72 horas."

Dois dias depois, o CCCS, autoridade do governo do Canadá responsável por coordenar a resposta nacional a incidentes de cibersegurança, alertou que threat actors já começaram a explorar a CVE-2026-48282 e pediu que defensores reforcem a proteção de seus sistemas diante dos ataques em andamento.

"Relatórios de fonte aberta indicam que a CVE-2026-48282 está sendo explorada", disse o CCCS.

"O Cyber Centre incentiva usuários e administradores a consultar os links fornecidos e aplicar as atualizações necessárias."

O monitor de segurança na internet Shadowserver acompanha quase 800 instâncias do Adobe ColdFusion expostas online, mas não há informações sobre quantas delas são honeypots ou já foram protegidas contra ataques que miram a falha CVE-2026-48282 .

Na semana passada, a Adobe também liberou patches para seis falhas de gravidade máxima nas plataformas ColdFusion e Campaign Classic, usadas para desenvolvimento de aplicações web e automação de marketing.

Todas podem ser exploradas por meio de ataques de baixa complexidade, sem interação do usuário, e foram classificadas como de alto risco de exploração.

Até agora, a empresa não indicou que alguma delas esteja sendo usada ativamente.

Segundo a Adobe, ela "não tem conhecimento de exploits em ambiente real para nenhum dos problemas corrigidos nessas atualizações".

No início de abril, a Adobe também publicou atualizações emergenciais para corrigir uma vulnerabilidade no Acrobat Reader, identificada como CVE-2026-34621 , que vinha sendo explorada em ataques zero-day havia pelo menos quatro meses, desde dezembro de 2025.

Desde novembro de 2021, a Agência de Segurança Cibernética e de Infraestrutura dos Estados Unidos (CISA) incluiu 79 vulnerabilidades em produtos da Adobe em seu catálogo de falhas exploradas ativamente.

Dez delas também foram abusadas em ataques de ransomware.

Publicidade

Proteja sua empresa contra hackers através de um Pentest

Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...