CEVIU Logo
Voltar
Adobe corrige sete falhas críticas no ColdFusion e Campaign

Adobe corrige sete falhas críticas no ColdFusion e Campaign

Aprofundamento CEVIU

Aprofundamento

A Adobe corrigiu sete falhas de severidade máxima em duas plataformas críticas para ambientes corporativos on-premises: ColdFusion e Campaign Classic. Seis delas atingem versões antigas do ColdFusion (2025.9, 2023.20 e anteriores), permitindo execução remota de código (RCE) sem autenticação e sem interação do usuário, um cenário perfeito para invasões em massa. A sétima, CVE-2026-48286, afeta apenas instâncias on-premises do Campaign Classic (v7.4.3 build 9396 ou anteriores), não as hospedadas pela Adobe. Isso é crucial: quem roda Campaign localmente está exposto; quem usa a nuvem da Adobe já está protegido.

O termo 'on-premises' aqui não é jargão, é uma arquitetura real com implicações operacionais diretas. Significa que o software roda em servidores físicos ou virtuais sob controle total do cliente, sem dependência da infraestrutura da Adobe. Isso dá flexibilidade, mas transfere toda a responsabilidade de atualização, hardening e monitoramento para a equipe interna. E nesse caso, a falha permite RCE no contexto do usuário atual, ou seja, se o serviço estiver rodando como root ou administrador, o atacante herda esse nível de privilégio.

O que mudou

Em abril, a Adobe já havia reagido a duas explorações ativas: uma zero-day no Acrobat Reader (CVE-2026-34621) explorada desde dezembro e outra falha em PDFs usada por meses antes da correção fonte. Agora, em julho, ela muda o ritmo estrutural: passa de boletins mensais para publicações quinzenais, às terças-feiras da segunda e quarta semana, para acelerar respostas. Essa mudança não é só tática: é uma resposta direta ao aumento de alvos em ambientes on-premises, como mostram os casos recentes da Ubiquiti (junho) e Ivanti (junho), ambos com RCE não autenticado em sistemas locais.

Por que isso importa

Essas falhas não são teóricas. Em cinco anos, a CISA listou 79 vulnerabilidades do Adobe como ativamente exploradas, 10 delas usadas por ransomware. ColdFusion ainda é usado em sistemas legados de bancos, órgãos públicos e grandes empresas brasileiras, muitos sem inventário atualizado. Campaign Classic on-premises aparece em campanhas de marketing críticas, com acesso a bases de dados sensíveis. Uma única máquina comprometida pode ser o ponto de entrada para movimento lateral, exfiltração de dados ou implantação de ransomware, especialmente porque nenhuma dessas falhas exige clique, login ou engenharia social.

Linha do tempo

  1. Adobe corrige falha ativamente explorada no Acrobat Reader (CVE-2026-34621)

  2. Adobe corrige falha zero-day em PDF explorada por meses

  3. Ubiquiti lança patch SAB-064 para falhas críticas no UniFi OS com RCE não autenticado

  4. Ivanti alerta sobre falhas críticas no Sentry que permitem acesso root sem autenticação

  5. Adobe corrige sete falhas críticas em ColdFusion e Campaign Classic, com foco em ambientes on-premises

Perguntas frequentes

O que significa 'on-premises' nesse contexto?

Significa que o software (ColdFusion ou Campaign Classic) está instalado e executado em servidores controlados diretamente pelo cliente, não na nuvem da Adobe. A falha no Campaign Classic só afeta essa configuração. A Adobe já corrigiu a vulnerabilidade nas instâncias que ela mesma hospeda.

Por que essas falhas são mais perigosas do que outras?

Elas permitem execução remota de código com baixa complexidade, sem autenticação e sem interação do usuário. Ou seja, um atacante só precisa saber o IP ou domínio do servidor vulnerável para tentar explorá-lo, não precisa de e-mail clicado, formulário preenchido ou credenciais roubadas.

Minha empresa usa ColdFusion em produção. O que fazer agora?

Atualize imediatamente para as versões corrigidas: ColdFusion 2025.10 ou 2023.21. Se não for possível atualizar, isole os servidores de ColdFusion da internet, restrinja o tráfego de entrada à rede interna e monitore logs de acesso HTTP para padrões suspeitos de exploração de RCE.

A Adobe vai continuar lançando patches tão rápido?

Sim, a partir de 14 de julho de 2026, a empresa adota boletins de segurança quinzenais, às terças-feiras da segunda e quarta semana do mês. Vulnerabilidades críticas descobertas fora desse ciclo ainda receberão correções emergenciais (out-of-band), como fez em abril com o Acrobat Reader.

Fontes

Avalie este artigo:
Compartilhar:
Categoria
CEVIU Segurança da Informação
Publicado
03 de julho de 2026
Editoria
CEVIU Segurança da Informação

Quer receber mais sobre CEVIU Segurança da Informação?

Conteúdo curado diariamente, direto no seu e-mail.

Conteúdo curado diariamenteDiversas categoriasCancele quando quiser