Minuti, non mesi, dall'analisi all'attacco

Il vecchio ritmo della risposta alle vulnerabilità presupponeva un margine. Una falla viene divulgata, i difensori leggono l'avviso, pianificano una finestra di manutenzione e correggono prima che gli aggressori costruiscano un exploit funzionante. CVE-2026-48282 ha cancellato quel margine. È una falla di attraversamento dei percorsi in Adobe ColdFusion, il longevo server applicativo che sostiene ancora un numero sorprendente di applicazioni web aziendali, e raggiunge il massimo 10,0 perché un aggressore senza credenziali può percorrere il file system e ottenere l'esecuzione di codice da remoto sul server stesso. Adobe ha rilasciato la correzione il 30 giugno con la sua massima priorità, prima di qualsiasi dettaglio pubblico.

Poi il margine si è ridotto a nulla. Il 2 luglio, a pochi minuti dalla pubblicazione di un'analisi tecnica da parte della società di sicurezza watchTowr, i sensori esca hanno registrato il primo vero tentativo di sfruttamento, da un indirizzo IP geolocalizzato in India. La spiegazione e il primo attacco sono arrivati lo stesso pomeriggio. È questo il numero che un titolare dovrebbe portarsi via da questa vicenda: non il punteggio CVSS, ma l'intervallo tra il momento in cui una falla diventa di dominio pubblico e quello in cui diventa l'intrusione di qualcuno, ora misurato in minuti.

La condizione che decide se siete esposti

Non ogni server ColdFusion è raggiungibile, e questa è l'unica buona notizia. La falla vive nei Remote Development Services di ColdFusion, una funzione pensata per far lavorare gli sviluppatori contro un server in esecuzione, ed è sfruttabile solo quando quel servizio è attivo e la sua autenticazione è disattivata. Quella combinazione non è la configurazione predefinita, quindi un'istanza moderna e ben impostata difficilmente è nella linea di tiro.

Il pericolo sta dove quell'impostazione sopravvive in silenzio. È il vecchio server ColdFusion messo su anni fa, dove uno sviluppatore ha attivato i Remote Development Services per comodità durante un progetto e nessuno li ha più disattivati, ora dimenticato dietro un'applicazione aziendale che da allora nessuno ha verificato. Adobe ha chiuso il buco in ColdFusion 2023 Update 21 e 2025 Update 10; interessate sono le versioni 2025.9, 2023.20 e ogni precedente. I server che con maggiore probabilità eseguono la configurazione esposta sono proprio quelli con minore probabilità di comparire in una lista di patch.

La scadenza è federale, l'orologio è di tutti

Il 7 luglio l'agenzia di cybersicurezza statunitense CISA ha aggiunto CVE-2026-48282 al suo catalogo delle vulnerabilità sfruttate sotto la Binding Operational Directive 26-04, ordinando alle agenzie federali di correggere entro il 10 luglio. Gli operatori in Italia e nell'UE non sono vincolati a quella direttiva, ma l'orologio che essa imposta è un buon surrogato del proprio: una falla sfruttata a pochi minuti dalla divulgazione non aspetta una finestra di manutenzione. In Italia l'Agenzia per la Cybersicurezza Nazionale indica la stessa direzione, e con NIS2 il dovere di gestire una vulnerabilità sfruttata nota sui vostri sistemi ricade su di voi.

La risposta è stretta e concreta, non ampia. Trovate ogni istanza di ColdFusion che eseguite, comprese quelle ereditate da acquisizioni o lasciate da un ex fornitore. Verificate se i Remote Development Services sono attivi e se la loro autenticazione è disattivata. Correggete le versioni interessate a 2023 Update 21 o 2025 Update 10, e dove una patch immediata è impossibile, disattivate il servizio e mettete il server dietro un firewall anziché su internet aperto. Poiché lo sfruttamento è già in corso, un server raggiungibile e non corretto va trattato come possibilmente già raggiunto.