Bulletins de Sécurité

Vous êtes confronté à un cyber-incident ?

Notre équipe est à votre disposition en 24/7 au 01 85 09 12 35 et par email cert@login-securite.com

Vulnérabilités Critiques dans Adobe ColdFusion

Score CVSS :
10
Date de publication :
2/7/2026
Date de dernière mise à jour :
2/7/2026
vulnerability icon thumbnail logy cybersecurity

Produits concernés

• Adobe ColdFusion 2025 en version 9 et antérieures

• Adobe ColdFusion 2023 en version 20 et antérieures

Prérequis

• Accès réseau au serveur ColdFusion

Risques

• Exécution de code arbitraire sur le serveur ColdFusion

• Lecture de fichiers arbitraires sur le serveur ColdFusion

• Escalade de privilèges sur le serveur ColdFusion

• Déploiement de webshells ou de malware sur le serveur

• Mouvement latéral vers les systèmes accessibles depuis le serveur

Résumé

Un ensemble de vulnérabilités critiques affectant Adobe ColdFusion 2025 et 2023 a été publié par Adobe le 30 juin 2026 dans le cadre du bulletin APSB26-68.

Le niveau de criticité initial de ce lot atteint 10.0 (score CVSSv3.1) pour six des sept vulnérabilités couvertes ci-dessous.

Adobe ColdFusion est une plateforme de développement et d'hébergement d'applications web d'entreprise, fréquemment utilisée pour exposer des interfaces métiers, des portails clients ou des services internes sur Internet.

CVE-2026-48276 et CVE-2026-48283 : Une vulnérabilité de type upload de fichier sans restriction de type dans ColdFusion pourrait permettre à un attaquant distant non authentifié de déposer puis d'exécuter un fichier arbitraire sur le serveur. L'attaquant n'a besoin d'aucun identifiant ni interaction de la victime pour exploiter cette vulnérabilité.

CVE-2026-48277, CVE-2026-48281 et CVE-2026-48316 : Des vulnérabilités de validation d'entrée insuffisante dans ColdFusion pourraient permettre à un attaquant distant non authentifié d'exécuter du code arbitraire sur le serveur.

CVE-2026-48282 : Une vulnérabilité de traversée de répertoire dans ColdFusion pourrait permettre à un attaquant distant non authentifié d'accéder à des fichiers hors du répertoire prévu et d'obtenir l'exécution de code arbitraire sur le serveur.

CVE-2026-48313 : Une vulnérabilité de traversée de répertoire dans ColdFusion pourrait permettre à un attaquant distant non authentifié de lire des fichiers arbitraires sur le système, sans nécessiter d'identifiants.

Une fois l'une de ces vulnérabilités exploitée, l'attaquant pourra ainsi prendre le contrôle d’un serveur portant la solution ColdFusion et interagir avec les applications et données qu'il héberge.

A l'heure actuelle, Adobe indique ne pas avoir connaissance d'exploitation active dans la nature. Cependant, l'historique de ColdFusion sur des vulnérabilités similaires démontre une exploitation massive dans les jours suivant leur publication.

Étant donné le risque associé, nous préconisons de corriger cette vulnérabilité sans plus attendre pour tout serveur ColdFusion exposé sur Internet.

Solutions

Détection de la compromission :

Afin de vérifier si un équipement est compromis, vous pouvez :

• Auditer les logs d'accès HTTP du serveur ColdFusion à la recherche de requêtes anormales, notamment des patterns d'injection dans les paramètres ou des appels vers des endpoints inhabituels.

• Rechercher la présence de webshells ou de fichiers exécutables non autorisés dans les répertoires de l'application (/wwwroot, /cfide, répertoires de déploiement ColdFusion)

Remédiation :

Mettre à jour Adobe ColdFusion vers les versions corrigées :

• ColdFusion 2023 : mettre à jour vers la version 21 ou supérieure

• ColdFusion 2025 : mettre à jour vers la version 10 ou supérieure

Le détail est disponible dans les liens en références.

Mitigation :

• Restreindre l'accès au serveur ColdFusion aux seules adresses IP légitimes.

Restez informés des dernières menaces !

Recevez les alertes de sécurité critiques et nos conseils pour protéger votre entreprise.

Merci pour votre inscription !
Oups ! Une erreur est survenue lors de l'envoi du formulaire.