Auf den Punkt: CISA ordnet behördenübergreifendes Patchen einer kritischen, aktiv ausgebeuteten ColdFusion-Lücke bis Freitag an.
Die US-Cybersecurity and Infrastructure Security Agency (CISA) hat US-Regierungsbehörden eine zwingende Patch-Frist bis Freitag für eine aktiv ausgenutzte Schwachstelle der höchsten Schweregrad-Stufe in Adobe ColdFusion gestellt. Die Vorgabe zeigt die unmittelbare Bedrohungslage für kritische Infrastrukturen.
Die CISA hat eine verbindliche Anweisung (Binding Operational Directive, BOD) zur Behebung einer Zero-Day-Schwachstelle in Adobe ColdFusion erlassen. Die Sicherheitslücke wird bereits in der Praxis ausgenutzt und trägt die maximale Schweregrad-Klassifizierung. Die Patch-Deadline von Freitag gilt für alle föderalen Behörden und Informationssysteme.
Für CISOs in government und kritischen Infrastrukturen bedeutet dies eine Eskalation: Die Setzung einer starren Deadline durch CISA ist Indikator für das Bedrohungspotenzial und die Zirkulation von Exploits in freier Wildbahn. Behörden, die ColdFusion-Instanzen betreiben, müssen sofort handeln, um nicht in Compliance-Verletzung zu geraten.
Die Priorisierung von ColdFusion folgt einem Muster der CISA: Regierungsbehörden sind bevorzugte Ziele für staatliche und nicht-staatliche Akteure. Eine offene Schwachstelle in einem weit verbreiteten Enterprise-Webframework schafft Zugangsvektoren zu sensiblen Systemen. Organisationen außerhalb der Bundesverwaltung sollten die Patch-Verfügbarkeit von Adobe abwarten und ebenfalls entsprechend reagieren.
Quelle: www.bleepingcomputer.com · Erschienen 8. Juli 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.7.3.