CEVIU Logo
Voltar
Adobe ColdFusion recebe correções urgentes contra falhas críticas de execução remota de código

Adobe ColdFusion recebe correções urgentes contra falhas críticas de execução remota de código

Aprofundamento CEVIU

Aprofundamento

O Adobe ColdFusion não é um framework moderno, é uma plataforma legada com motor Java que ainda roda em centenas de sistemas críticos no Brasil, especialmente em órgãos públicos e bancos que mantêm aplicações CFML desde os anos 2000. O RDS (Remote Development Services) nunca foi projetado para produção: é um serviço de depuração que, se habilitado sem autenticação, vira uma porta aberta direta para o sistema operacional. A falha CVE-2026-48313, por exemplo, não exige credenciais nem interação com código CFML, basta um POST para /CFIDE/main/ide.cfm com um payload de path traversal no protocolo binário RDS. E como o CKEditor integrado roda com privilégios NT AUTHORITY\SYSTEM, qualquer upload malicioso vira shell completo.

Isso não é teórico: o watchTowr Labs já observou exploração ativa em ambientes reais, e a Adobe não divulgou detalhes técnicos dos exploits porque o RDS está desativado por padrão, mas muitos administradores o reativam para manutenção remota sem perceber o risco. O patch não remove o RDS, só adiciona validação canônica no caminho, o que falha se o servidor tiver configurações de montagem de volume ou symbolic links fora do controle do ColdFusion.

O que mudou

A CEVIU já havia reportado, na mesma data (2026-07-03), que a Adobe corrigiu 'sete falhas críticas' no ColdFusion, mas sem detalhar o vetor RDS FILEIO nem a escalada via CKEditor. Agora sabemos que dessas sete, pelo menos cinco são explorações diretas do RDS não autenticado (CVE-2026-48276, -48282, -48313, -48314, -48315), e duas envolvem o CKEditor com privilégios de sistema. Antes, a cobertura tratava as falhas como genéricas de 'execução remota'. Hoje, o relatório do watchTowr mostra que elas são específicas de um fluxo de desenvolvimento antigo, mal configurado, e que permite bypass total de autenticação, algo que não aparecia nos comunicados oficiais da Adobe.

Por que isso importa

Empresas brasileiras ainda usam ColdFusion em sistemas fiscais, de nota fiscal eletrônica e de integração com SEFAZ, muitos sem atualização desde 2023. Um único servidor com RDS ativo e sem senha pode ser usado para extrair chaves de API, ler arquivos de conexão com bancos, ou injetar webshells em diretórios acessíveis via HTTP. Não é questão de 'quem ainda usa', mas de 'quem não sabe que ainda usa'. E como o patch exige reinicialização do serviço e testes de compatibilidade com CFML legado, muitos adiam a correção, deixando janelas abertas para ransomware ou espionagem.

Linha do tempo

  1. Adobe lança atualizações críticas para ColdFusion 2023 e 2025 corrigindo falhas de execução remota via RDS FILEIO e CKEditor com privilégios de sistema

Perguntas frequentes

O RDS é ativado por padrão no ColdFusion?

Não. O RDS vem desativado por padrão em todas as versões. Mas é comum que equipes de suporte o habilitem manualmente para depuração remota, sem configurar senha ou restringir IP, o que expõe o servidor imediatamente.

O patch corrige todas as falhas de execução remota listadas?

Sim, mas apenas nas versões atualizadas: ColdFusion 2023 Update 21+ e ColdFusion 2025 Update 10+. Versões anteriores continuam vulneráveis mesmo após aplicar hotfixes parciais. Não há mitigação alternativa segura além da atualização ou do desligamento completo do RDS e do CKEditor file manager.

Por que o CKEditor é um vetor crítico aqui?

O CKEditor integrado ao ColdFusion não é o open-source CKEditor 5, é uma versão antiga e personalizada, com endpoint de upload (/cfide/scripts/ajax/ckeditor/editor/filemanager/connectors/cfm/upload.cfm) que roda com privilégios de sistema. Um path traversal nesse endpoint grava arquivos diretamente em qualquer lugar do disco, inclusive em pastas executáveis do IIS ou Apache.

Existe detecção prática dessa exposição em ambientes corporativos?

Sim: escanear por respostas HTTP 200 em /CFIDE/main/ide.cfm com método POST e corpo binário simples revela RDS ativo. Já o CKEditor vulnerável responde 200 em /cfide/scripts/ajax/ckeditor/editor/filemanager/connectors/cfm/upload.cfm mesmo sem autenticação. Ferramentas como Nuclei têm templates específicos para isso.

Fontes

Avalie este artigo:
Compartilhar:
Categoria
CEVIU Segurança da Informação
Publicado
03 de julho de 2026
Editoria
CEVIU Segurança da Informação

Quer receber mais sobre CEVIU Segurança da Informação?

Conteúdo curado diariamente, direto no seu e-mail.

Conteúdo curado diariamenteDiversas categoriasCancele quando quiser