Alors, dangereux ou pas dangereux ? Selon Adobe, cette faille affectant Coldfusion était « importante mais pas critique », rustine à appliquer donc, mais sans alarmisme de mauvais aloi. Pourquoi « seulement » importante ? Car, de l’avis du Response Team d’Adobe, toute exploitation à distance était fort improbable. Opinion que contestent plusieurs chercheurs, à commencer par les inventeurs eux-mêmes, qui se fendent d’un communiqué plus qu’alarmiste. C’est un véritable désastre, estiment les chercheurs de la société Britannique ProCheckup. Le correctif Adobe corrige effectivement les dernières versions (8 et 9) de Coldfusion, mais le trou reste béant sur les versions 5 à 7, encore largement exploitées. Le nombre de sites vulnérables dépasserait la dizaine de milliers. Ce danger peut être écarté en interdisant l’accès au répertoire d’administration, précise le rédacteur du blog de ProCheckup.
Adrian Pastor, de Gnu Citizen, abonde dans le sens de Richard Brain, le patron de l’entreprise Britannique susmentionnée et, pour prouver la dangerosité potentielle de cette faille, signale l’existence d’un exploit rendu public sur exploit-db. Auteur anonyme mais menace bien identifiée. Depuis, Adobe est revenu sur sa position et reconnaît que le trou CVE-2010-2861 est bien exploitable à distance.