// 2 CRITICAL · 5 CVE · 4 EXPLOIT NELLE ULTIME 24H
Adobe ha corretto 10 vulnerabilità ColdFusion, inclusa CVE-2026-48282 con CVSS 10.0 e exploitation confermata. Il modulo RDS legacy resta vettore di attacchi

Adobe ha rilasciato il security bulletin APSB26-68 il 30 giugno 2026 con dieci vulnerabilità per ColdFusion 2023 e 2025, tra cui CVE-2026-48282 con punteggio CVSS 10.0 e exploitation già confermata in attacchi limitati. Il modulo RDS (Remote Development Services), un componente legacy per lo sviluppo remoto, è nuovamente il fulcro critico: path traversal pre-autenticato che porta a scrittura arbitraria di file e, da lì, a esecuzione di codice remoto. Le versioni patchate sono ColdFusion 2025 Update 10 e ColdFusion 2023 Update 21, entrambe con priority rating 1, il massimo livello di urgenza.

Punti chiave
  • Dieci CVE risolti: sei con CVSS 10.0 Critical per arbitrary code execution, due con CVSS 9.3 per arbitrary file read e privilege escalation, oltre a SSRF e reflected XSS, tutti nel bulletin APSB26-68 secondo Adobe.
  • Exploitation attiva confermata: Adobe dichiara esplicitamente che CVE-2026-48282 è sfruttato in-the-wild in attacchi limitati contro installazioni ColdFusion.
  • Meccanismo tecnico verificato: il modulo RDS esporta operazioni FILEIO via protocollo RPC length-prefixed su HTTP POST a /CFIDE/main/ide.cfm; il fix aggiunge RdsFileSecurity.resolveCanonical() per bloccare directory traversal con sequenze ".." e null bytes.
  • Condizioni di attacco circoscritte ma gravi: RDS non è abilitato di default, ma chi lo ha attivato senza autenticazione espone RCE pre-autenticato trivial tramite scrittura di file .cfm nella webroot.

Il modulo RDS e il debito tecnico di ColdFusion

Il Remote Development Services è un protocollo progettato per permettere agli sviluppatori di interagire da remoto con il server ColdFusion: gestione file, esecuzione query, debug. watchTowr ha analizzato il codice decompilato di core/coldfusion/rds/FileServlet.java, dove il servlet gestisce operazioni FILEIO — READ, WRITE, RENAME, REMOVE — incapsulate in messaggi RPC length-prefixed trasmessi via HTTP POST all'endpoint /CFIDE/main/ide.cfm.

Prima della patch APSB26-68, il parametro filename veniva risolto direttamente senza canonicalizzazione. Il diff del codice mostra che Adobe ha introdotto RdsFileSecurity.resolveCanonical(): il percorso target viene ora normalizzato e validato, con blocchi espliciti per sequenze di directory traversal e byte nulli. Questo interrompe la catena che portava a scrittura di file arbitrari al di fuori dei path consentiti e, conseguentemente, al caricamento di codice eseguibile nella directory servita dal web server.

La scelta architetturale di mantenere RDS nel prodotto, pur non attivo di default, rappresenta un nodo di debito tecnico. Il modulo è ricorrente vettore di vulnerabilità critiche: la sua superficie di attacco — operazioni di filesystem esposte via rete — è intrinsecamente pericolosa se la validazione dei path fallisce anche una sola volta.

Da path traversal a RCE: la catena di CVE-2026-48282

watchTowr ha ricostruito e testato la catena completa. Una richiesta HTTP POST a /CFIDE/main/ide.cfm?ACTION=FILEIO con operazione WRITE e percorso target costruito con sequenze .. permette di scrivere un file .cfm nella webroot di ColdFusion, tipicamente sotto C:\ColdFusion2025\cfusion\wwwroot\. Il file contiene tag ColdFusion come <cfexecute name="cmd.exe">, eseguibile poi richiedendo l'URL corrispondente via GET.

La fonte tecnica descrive questo passaggio come trasformazione di un "primitiva di file write" in "trivial path to Remote Code Execution". La pre-autenticazione, nel contesto testato, deriva dalla combinazione RDS abilitato più autenticazione disabilitata — configurazione che watchTowr attribuisce a scenari di sviluppo o a errori di hardening.

Adobe classifica CVE-2026-48282 come Improper Limitation of Pathname to Restricted Directory (CWE-22) con impatto "arbitrary code execution". Il punteggio CVSS 10.0 riflette accesso di rete senza privilegi, nessuna interazione utente, scope changed, impatto massimo su confidenzialità, integrità e disponibilità.

L'incertezza della mappatura CVE e i silenzi dell'advisory

Non tutte le dieci CVE dell'advisory hanno ricevuto analisi tecnica pubblica. watchTowr ha esaminato in dettaglio due vulnerabilità nel modulo RDS, attribuendo con esplicita incertezza: CVE-2026-48282 alla scrittura arbitraria di file, CVE-2026-48313 alla lettura arbitraria. Per le altre otto CVE — tra cui CVE-2026-48276, 48277, 48281, 48283, 48314, 48315, 48316, 48285, 48307 — il meccanismo tecnico non è stato pubblicato nella fonte analitica disponibile.

"Adobe is aware that CVE-2026-48282 has been exploited in the wild in limited attacks targeting Adobe ColdFusion" — Adobe Security Bulletin APSB26-68

La stessa fonte tecnica nota che alcune CVE menzionate nell'advisory Adobe non compaiono nella lista dettagliata della documentazione ufficiale, sollevando domande sulla completezza della disclosure: "Did Adobe get bored listing them?", osserva watchTowr, pur con il tono auto-deprecatorio che accompagna la propria incertezza metodologica ("We've performed some informed, uninformed, random guesses").

Questo limite ha conseguenze operative: gli amministratori sanno che dieci vulnerabilità sono state corrette, ma non dispongono di analisi indipendenti per verificare la superficie di attacco di otto di esse. L'advisory ufficiale fornisce categorie CWE e impatto macro, non il percorso tecnico del payload.

Cosa fare adesso

  • Applicare ColdFusion 2025 Update 10 o ColdFusion 2023 Update 21 immediatamente: Adobe assegna priority rating 1 a entrambe le versioni, indicando aggiornamento senza ritardo.
  • Verificare lo stato del modulo RDS: se abilitato, confermare che l'autenticazione sia attiva; se non necessario per l'ambiente operativo, disabilitarlo.
  • Ispezire la webroot per file .cfm non autorizzati: la catena CVE-2026-48282 lascia traccia persistente in forma di file caricati, rilevabili tramite monitoraggio dell'integrità della directory servita.
  • Correlare log di accesso a /CFIDE/main/ide.cfm con anomalie POST: le richieste FILEIO con payload sospetti possono essere identificate analizzando il metodo, il path e il pattern dei parametri ACTION.

Il profilo di rischio e la geometria del target

ColdFusion rimane una piattaforma enterprise per applicazioni web di lunga data, spesso in contesti dove la sostituzione è costosa o ritardata da vincoli di business. La combinazione di CVSS 10.0 con exploitation confermata trasforma CVE-2026-48282 in un trigger obbligato per ogni programma di gestione delle vulnerabilità che includa questa tecnologia nel proprio perimetro.

La condizione "RDS abilitato senza autenticazione" riduce la superficie rispetto a una vulnerabilità completamente pre-autenticata su installazione default, ma non abbassa il rischio per le istanze che corrispondano a quel profilo. La fonte tecnica ha verificato la catena in tale configurazione; Adobe non ha specificato se gli attacchi in-the-wild abbiano richiesto condizioni analoghe o sfruttato vettori diversi.

La presenza di CVE-2026-48313 (CVSS 9.3, arbitrary file read) nello stesso modulo RDS suggerisce che il problema era sistemico nella gestione dei path, non isolato a una singola operazione. Il fix unificato via resolveCanonical() conferma questa lettura architetturale.

Cosa resta da chiarire

Il dossier non specifica la portata numerica degli attacchi in-the-wild: "limited attacks" è la sola qualificazione ufficiale, senza indicazioni su vittime, settori o attori coinvolti. Non emergono sovrapposizioni infrastrutturali che colleghino l'attività osservata a gruppi noti allo stato attuale.

Resta aperta la questione della disclosure completa: otto CVE senza analisi tecnica pubblica e alcune omissioni nella documentazione tabellata lasciano spazi di incertezza per chi debba calibrare controlli compensativi. La fonte non specifica se esistano exploit pubblici oltre al proof-of-concept di watchTowr, né quante installazioni ColdFusion mantengano RDS attivo in produzione.

Fonti

Le informazioni sono state verificate sulle fonti citate e aggiornate al momento della pubblicazione.

Fonti


Fonti e riferimenti
  1. labs.watchtowr.com
  2. helpx.adobe.com
  3. storage.ghost.io