Sept failles d’une gravité maximale corrigées dans deux logiciels Adobe

Adobe a déployé une salve de correctifs pour combler sept vulnérabilités affectant ses solutions ColdFusion et Adobe Campaign Classic. Chacune de ces brèches a reçu le score maximal de 10,0 sur l’échelle CVSS, les plaçant au plus haut niveau de risque. L’éditeur a exhorté les administrateurs à appliquer sans délai les mises à jour.

La faille ColdFusion déjà exploitée dans la nature

La plus préoccupante, identifiée sous la référence CVE-2026-48282, touche la plateforme de développement d’applications web ColdFusion. Il s’agit d’une vulnérabilité de désérialisation qui permet à un attaquant non authentifié d’exécuter du code à distance sur le serveur cible. Les versions concernées sont ColdFusion 2025.9, 2023.20 et toutes les versions antérieures. Adobe a confirmé que des tentatives d’exploitation ont été observées moins de deux heures après la publication du correctif, ce qui a contraint l’entreprise à alerter les utilisateurs avec une urgence maximale.

Les six autres fragilités d’Adobe Campaign Classic

Parallèlement, six autres brèches de même niveau de criticité (CVE-2026-48283 et cinq autres non encore détaillées publiquement) ont été colmatées dans Adobe Campaign Classic. Ces vulnérabilités pourraient également permettre l’exécution de code arbitraire. L’éditeur n’a pas encore fourni de détails techniques complets sur leur mécanisme, mais recommande aux clients d’appliquer les patchs sans attendre.

Injonction de l’agence de cybersécurité américaine

Face à la gravité de la situation, l’Agence américaine pour la cybersécurité et la sécurité des infrastructures (CISA) a émis une directive contraignante à destination des agences fédérales. Celles-ci doivent corriger la faille CVE-2026-48282 sur leurs systèmes ColdFusion avant le vendredi de cette semaine. Cette obligation s’inscrit dans le cadre du programme de gestion des vulnérabilités (Binding Operational Directive). L’agence n’a pas précisé si des incidents avaient déjà été signalés au sein de l’administration américaine.

Recommandations pour les organisations

Adobe invite les entreprises et les entités publiques à installer les mises à jour dans les 72 heures suivant leur disponibilité, en suivant son barème de sévérité. Les administrateurs sont priés de consulter les bulletins de sécurité officiels pour identifier les versions exactes des correctifs. L’éditeur rappelle que l’exploitation à distance de ces failles ne nécessite aucune interaction de l’utilisateur, ce qui accroît le risque pour les serveurs exposés sur Internet.

Contexte et précédents

Cette salve de correctifs intervient alors que les vulnérabilités de type exécution de code à distance dans ColdFusion ont déjà été ciblées par des acteurs malveillants par le passé. En 2023, plusieurs brèches similaires avaient provoqué des campagnes d’attaques massives. La réitération d’incidents exploitant des failles de sévérité maximale souligne l’importance d’une gestion proactive des correctifs, en particulier pour les infrastructures critiques.