ColdFusion CVE-2026-48282: sfruttata poche ore dopo la patch
Il 1° luglio Adobe ha corretto sei falle ColdFusion CVSS 10.0. In poche ore CVE-2026-48282 era già sotto attacco: la finestra di lettura file prima della patch è ciò che quasi nessun difensore vede.
Il 1° luglio 2026 Adobe ha pubblicato il bollettino di sicurezza APSB26-68, correggendo una serie di vulnerabilità ColdFusion che si legge come uno scenario peggiore: sei valutate CVSS 10.0, tutte portano a esecuzione di codice remoto, la maggior parte senza bisogno di autenticazione. Il bollettino di Adobe dichiara che l'azienda "non è a conoscenza di exploit in circolazione". Quella frase è durata poco. Nel giro di ore dalla divulgazione, i ricercatori hanno segnalato tentativi di sfruttamento contro una di esse — CVE-2026-48282, una falla di path traversal — e l'NHS England National CSOC ha emesso l'alert CC-4808, valutando come altamente probabile un ulteriore sfruttamento.
La parte interessante non è che ColdFusion abbia bug critici. ColdFusion è una presenza ricorrente nel catalogo CISA Known Exploited Vulnerabilities, e tutto il settore si aspetta che venga attaccato nel momento in cui esce una patch. La parte interessante è cosa hanno fatto i primi attaccanti: hanno usato una primitiva di lettura file per entrare nel server ed estrarne dati. È la fase di una compromissione ColdFusion che quasi nessuno osserva — ed è la fase che decide se un'intrusione è una nota a margine o una notifica di violazione.
Cosa ha rilasciato Adobe il 1° luglio — e cosa significa "priorità 1"
APSB26-68 non è una singola correzione. È un grappolo, e la densità è la notizia. Secondo l'analisi di Security Affairs e la copertura di BleepingComputer, la parte ColdFusion del bollettino include:
- CVE-2026-48276 — caricamento di file malevolo (CWE-434) che porta a esecuzione di codice arbitrario, CVSS 10.0.
- CVE-2026-48277 / 48281 / 48283 / 48316 — validazione impropria dell'input, ciascuna porta a esecuzione di codice, tutte CVSS 10.0.
- CVE-2026-48282 — path traversal (CWE-22) che porta a esecuzione di codice arbitrario, CVSS 10.0. È questa quella sondata in circolazione.
- CVE-2026-48313 — path traversal che consente l'accesso a file sensibili, CVSS 9.3.
- CVE-2026-48315 — falla di validazione dell'input che abilita l'escalation di privilegi, CVSS 9.3.
Adobe ha assegnato all'aggiornamento la "priorità 1" — la sua massima urgenza, riservata alle falle giudicate a rischio elevato di essere prese di mira. Le build interessate sono ColdFusion 2025 (Update 9 e precedenti) e ColdFusion 2023 (Update 20 e precedenti); anche le linee più vecchie e fuori supporto sono vulnerabili e semplicemente non riceveranno una correzione. Quel mix — application server diffusissimo, RCE non autenticata, valutazione di massima severità e flag priorità-1 del vendor — è esattamente il profilo che viene weaponizzato in fretta.
Dentro CVE-2026-48282: dal path traversal all'esecuzione di codice
Secondo il record NVD, CVE-2026-48282 è CVSS 10.0 con vettore AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H: raggiungibile via rete, bassa complessità, nessun privilegio, nessuna interazione utente e un cambio di scope — la compromissione esce dal componente vulnerabile e raggiunge l'host. È classificata CWE-22, limitazione impropria di un percorso a una directory ristretta. In parole povere: una richiesta può uscire dalla directory in cui ColdFusion intende confinarla e toccare file che non dovrebbe mai raggiungere.
L'analisi del patch-diff di watchTowr su APSB26-68 ha individuato le primitive concrete dietro il bollettino: un percorso di operazione su file che passava al filesystem un nome file controllato dall'attaccante senza canonicalizzarlo prima (la correzione sostituisce un getFile grezzo con un getCanonicalFile), e un handler di upload del file-manager che accettava sequenze di traversal nel parametro path. Una qualsiasi di queste primitive, in una configurazione non predefinita ma comune, consente a una richiesta non autenticata di scrivere una web shell .cfm nella web root e poi eseguirla — oppure, puntata nella direzione opposta, di leggere file arbitrari dal disco.
Il tentativo osservato in circolazione riflette esattamente quella seconda direzione. Il primo sfruttamento osservato, secondo Cyber Security News, proveniva da un IP geolocalizzato in India che tentava di leggere C:\Windows\win.ini — la classica prova "il traversal funziona?". win.ini è privo di valore. È uno scatto di conferma. A cosa serve davvero una lettura via traversal è tutto ciò che di prezioso sta in percorsi noti su una macchina ColdFusion:
../../../../ColdFusion2025/cfusion/lib/neo-security.xml— l'hash della password admin.../../../../ColdFusion2025/cfusion/lib/neo-datasource.xml— ogni datasource, con credenziali.../../../../ColdFusion2025/cfusion/lib/password.properties— i segreti RDS e admin.
Un attaccante che legge quei file non ha bisogno di una web shell per fare danni. Ha le credenziali del tuo database, l'hash dell'admin e le chiavi di ogni datasource con cui l'applicazione parla — letti direttamente dal disco, su HTTPS, in una manciata di richieste. Nessun malware. Nessun processo da rilevare. Niente sulla macchina che un file-integrity monitor o un agent endpoint segnalerebbe, perché non è stato scritto nulla.
La finestra che nessuno osserva: lo sfruttamento prima della patch
Ecco la tempistica che conta. Adobe ha divulgato il 1° luglio. I tentativi di sfruttamento sono stati segnalati lo stesso giorno. Qualsiasi organizzazione con un processo di patching maturo — test, staging, pianificazione, deploy — si misura in giorni-settimane per un application server tanto fragile e critico per il business quanto ColdFusion. Il divario tra "il bug è pubblico" e "la nostra macchina è patchata" non è un dettaglio contabile: è esattamente la finestra in cui CVE-2026-48282 viene usata, ed è una finestra che ogni difensore concede per impostazione predefinita.
Durante quella finestra, la mossa più preziosa per l'attaccante è quella silenziosa: leggere i file di configurazione, raccogliere le credenziali, andarsene. La storia stessa di ColdFusion dice che è questo che accade. Quando la CISA ha indagato su CVE-2023-26360, l'ultima volta che una falla ColdFusion ha portato un'agenzia federale in prima pagina, l'intrusione registrata era ricognizione — gli attaccanti hanno preso piede su server ColdFusion esposti e hanno iniziato a mappare l'ambiente. Leggi-e-vai non lascia quasi tracce locali. La compromissione viene scoperta settimane dopo, se mai, quando le credenziali raccolte ricompaiono usate altrove.
È questo il punto cieco strutturale: la patch chiude la porta, ma non ti dice se qualcuno è già passato, e la strumentazione endpoint sulla macchina non può vedere un attacco di divulgazione dati che non ha mai scritto un file né avviato un processo. L'unico posto in cui quella lettura-ed-esfiltrazione è visibile è sul filo — un application server che storicamente serviva pagine e che d'un tratto emette una raffica di richieste in uscita, o che risponde a una serie di richieste in ingresso a forma di traversal mai viste prima, mentre sta accadendo.
Perché ColdFusion finisce sempre nella lista KEV
Niente di tutto questo è nuovo per ColdFusion. È un application server maturo e ampiamente diffuso che spesso siede al bordo di internet davanti ai database, e ha una fedina insolitamente lunga: CVE-2023-26360 fu aggiunta al catalogo KEV il giorno dopo la divulgazione e usata per violare un'agenzia del ramo esecutivo civile federale; lo schema "Adobe corregge ColdFusion, gli attaccanti sfruttano entro giorni" si è ripetuto per più anni e più CVE.
Il motivo per cui resta sfruttabile non è la mancanza di patch. È la combinazione che il bollettino del 1° luglio cattura alla perfezione:
| Proprietà di ColdFusion | Conseguenza per i difensori |
|---|---|
| Esposto a internet per ruolo | Raggiungibile da qualsiasi attaccante non autenticato al giorno zero |
| Davanti a database e datasource | I file di configurazione sul disco sono le credenziali dei gioielli della corona |
| Legacy, difficile da patchare in fretta | La finestra di sfruttamento è ampia, misurata in giorni-settimane |
| Funzioni non predefinite (RDS, upload) | La superficie d'attacco varia per installazione; gli scanner tirano a indovinare, non confermano |
L'ultima riga è quella che sconfigge la sicurezza guidata dal catalogo. Uno scanner di vulnerabilità legge il banner della build ColdFusion, lo abbina a un feed CVE e riporta "vulnerabile" o "patchato". Non sa se RDS è abilitato su questo host, se gli upload sono attivi, se il traversal raggiunge davvero un percorso sensibile nel tuo deployment o — soprattutto — se un attaccante ha già usato la finestra prima che tu la chiudessi. Il banner è un'ipotesi. L'unico modo per saperlo è attaccare la macchina come farebbe un attaccante e osservare il filo come lui spera che tu non faccia.
Remediation
Considera qualsiasi istanza ColdFusion 2025 o 2023 raggiungibile da internet come presunta bersaglio dal 1° luglio 2026. Lavora la lista in ordine.
1. Sono interessato?
Controlla la build. In ColdFusion Administrator la stringa di versione è sulla dashboard principale; da filesystem, leggi la build da cfusion/lib/version.properties. Sei vulnerabile se sei su ColdFusion 2025 Update 9 o precedente, ColdFusion 2023 Update 20 o precedente, o su qualsiasi linea fuori supporto (2021 e precedenti). Poi verifica l'esposizione: l'istanza è raggiungibile da internet e le funzioni ad alto rischio sono abilitate? Da ColdFusion Administrator, conferma se RDS e gli upload di file sono attivi — ampliano la superficie sfruttabile per questo bollettino.
2. Patch — versioni corrette esatte. Applica subito gli aggiornamenti del 1° luglio:
- ColdFusion 2025 → Update 10
- ColdFusion 2023 → Update 21
Le versioni fuori supporto non ricevono correzione — migra a una linea supportata. Dopo l'aggiornamento, applica la guida di lockdown ColdFusion di Adobe se non l'hai fatto; diverse di queste falle sono condizionate da funzioni non predefinite che il lockdown disabilita.
3. Non puoi patchare stanotte? Controlli compensativi.
- Disabilita RDS in produzione — non dovrebbe mai essere attivo su una macchina esposta a internet, e disabilitarlo rimuove una primitiva primaria di questo bollettino.
- Disabilita gli upload di file se l'applicazione non li richiede; dove servono, limita il percorso di upload e i tipi di file a livello applicativo.
- Metti ColdFusion dietro un reverse proxy / WAF e blocca le richieste che contengono sequenze di traversal (
../, varianti codificate) verso/CFIDE/,/cf_scripts/e gli endpoint RDS. - Limita l'egress dall'host ColdFusion alle sole destinazioni realmente necessarie. Un attacco leggi-ed-esfiltra deve pur inviare i dati da qualche parte; una policy di egress default-deny trasforma una lettura silenziosa in una connessione bloccata.
4. Cerca segni di compromissione (assumi che la finestra sia stata usata). Mappa la caccia su MITRE ATT&CK:
- T1190 Exploit Public-Facing Application — esamina i log web/accessi per richieste a forma di traversal (
../,%2e%2e%2f, prefissi di percorso lunghi) verso/CFIDE/main/ide.cfm, l'handler di upload del file-manager CKEditor sotto/cf_scripts/e qualsiasi endpoint RDS, in particolare dal 1° luglio. - T1083 File and Directory Discovery / T1005 Data from Local System — cerca letture di
neo-security.xml,neo-datasource.xml,password.propertiese sonde in stilewin.ini. - T1505.003 Web Shell — inventaria la web root e le directory
CFIDEper file.cfm/.cfmlnuovi o modificati; ordina per timestamp e confronta con una baseline nota-buona. - T1071 / T1041 C2 ed Esfiltrazione — controlla le connessioni in uscita dall'host ColdFusion verso destinazioni mai viste prima e un server che normalmente solo serve traffico che d'un tratto invia volume.
5. Bonifica e verifica — dopo aver patchato.
Se trovi prove di sfruttamento, la patch non è la fine. Rimuovi eventuali web shell, poi ruota ogni credenziale che la macchina potrebbe aver esposto: la password admin di ColdFusion, i segreti RDS e — cosa cruciale — ogni credenziale di datasource in neo-datasource.xml, perché una lettura via traversal le consegna direttamente. Ruotale sul lato database, non solo in ColdFusion. Conferma che l'host è pulito dopo aver applicato la patch, non prima; un banner patchato sopra una web shell viva è esattamente il falso negativo che questo bollettino genererà per settimane.
Dove si colloca Zero Hunt
La remediation qui sopra ha due metà che gli strumenti ordinari gestiscono male: vedere la lettura-ed-esfiltrazione mentre accade e sapere se la macchina patchata è davvero pulita. Entrambe corrispondono a ciò per cui è costruita l'appliance on-prem di Zero Hunt.
La prima è un problema di traffico, ed è il caso canonico dell'AI Traffic Analysis di Zero Hunt. Un server ColdFusion che d'un tratto risponde a richieste a forma di traversal, o che inizia a spingere dati in uscita verso un ASN mai contattato, è invisibile a un file-integrity monitor e a un agent endpoint — non è stato scritto nulla, non è stato avviato alcun processo. È pienamente visibile sul filo. Zero Hunt esegue un modello proprietario di deep learning con quattro teste di inferenza parallele — traffico sospetto, classificazione malware, identificazione del tipo di attacco e fingerprinting applicativo — addestrato su miliardi di sequenze PCAP, a una baseline di 2,7+ Gbit/s, interamente sulla GPU dell'appliance. Segnala l'egress anomalo e l'ingresso a forma di exploit mentre l'attività è in corso, non nel digest del SIEM della mattina dopo — che è la differenza tra intercettare una raccolta di credenziali in atto e leggerla in una notifica di violazione.
La seconda metà — la mia macchina patchata è davvero pulita, ed era sfruttabile in primo luogo? — è dove il pentest generativo a 10 agenti risponde alla domanda che uno scanner non può. Invece di leggere il banner della build e tirare a indovinare, gli agenti Exploit e Web scrivono un tentativo per-bersaglio contro la tua configurazione — RDS attivo o no, upload abilitati o no, traversal che raggiunge un percorso sensibile o no — usando un LLM locale, con ogni skill ritestata nell'AI Gym contro i corpus Vulhub e CTF prima di girare in produzione. In una campagna assumed-breach, gli agenti Post-Exploit e Pivot vanno a cercare la web shell piantata e la traccia di credenziali raccolte che la patch si è lasciata dietro, e ogni finding viene firmato ECDSA in una catena di evidenze. Gira interamente on-prem — nessun callback verso il cloud, nessuna API LLM esterna — e una campagna change-triggered ripete il test nel momento in cui una nuova istanza ColdFusion compare sul perimetro.
ColdFusion tornerà nel catalogo KEV; non è tanto una previsione quanto uno schema. Le organizzazioni che attraversano queste finestre senza una notifica di violazione sono quelle che smettono di fidarsi del banner della patch e cominciano a validare ciò che gira davvero — e a osservare il filo per la lettura che avviene prima che la patch arrivi. Se è questo il divario che stai cercando di colmare, parliamone.