Zum Inhalt springen

CVE-2026-48282: Kritische Adobe-ColdFusion-Lücke in der Ausnutzung

Auf den Punkt: Die unauthentifizierte, remote ausnutzbare Lücke CVE-2026-48282 in ColdFusion ermöglicht beliebiges Datei-Schreiben und Code-Ausführung, sofern RDS aktiviert und nicht authentifiziert ist.

Eine Sicherheitslücke in Adobe ColdFusion mit CVSS-Wert 10 wird innerhalb von zwei Stunden nach öffentlicher Analyse aktiv ausgenutzt. CISA und kanadische Behörden haben vor Angriffen auf betroffene Systeme gewarnt.

Die Sicherheitslücke CVE-2026-48282 betrifft Adobe ColdFusion und ermöglicht unauthentifizierten Angreifern über ein Path-Traversal-Fehler im Remote Development Services (RDS) FILEIO-Handler, beliebige Dateien auf den Server zu schreiben und Schadcode mit den Rechten des ColdFusion-Dienstkontos auszuführen. Das Common Vulnerability Scoring System stuft die Lücke mit einem Wert von 10,0 als kritisch ein. Betroffen sind ColdFusion 2025 Update 9 und älter sowie ColdFusion 2023 Update 20 und älter.

Adobe veröffentlichte am 30. Juni 2026 Patches über das Bulletin APSB26-68 (ColdFusion 2025 Update 10, ColdFusion 2023 Update 21). Zum Zeitpunkt der Veröffentlichung lagen dem Hersteller keine Hinweise auf aktive Ausnutzung vor. Nachdem IT-Sicherheitsforscher am 2. Juli detaillierte technische Analysen veröffentlichten, registrierte die spezialisierte Plattform KEVIntel Angriffe in Echtzeit. Ryan Dewhurst, Gründer von KEVIntel, bestätigte: „KEVIntel hat eine Ausnutzung in freier Wildbahn innerhalb unseres globalen Honeypot-Netzwerks erfasst.“

Das Canadian Centre for Cyber Security gab eine Warnung ab. Die US-amerikanische Cybersecurity and Infrastructure Security Agency (CISA) nahm die Schwachstelle am 7. Juli 2026 in ihren Katalog aktiv ausgenutzter Sicherheitslücken auf. Piyush Sharma, Geschäftsführer von Tuskira, kommentiert das Incident-Zeitfenster: „Angreifer begannen innerhalb von zwei Stunden nach der öffentlichen Bekanntgabe mit der Ausnutzung, lange bevor Organisationen Patches realistisch validieren, priorisieren, testen und in Produktionsumgebungen bereitstellen konnten.“

Ein erfolgreicher Angriff setzt voraus, dass die RDS-Funktion aktiviert ist und die dazugehörige Authentifizierung unkonfiguriert oder deaktiviert ist. Organisationen mit aktiven ColdFusion-Instanzen sollten sofort überprüfen, ob RDS nicht dem Produktionssystem zugänglich ist, und verfügbare Patches unverzüglich einspielen.


Quelle: www.it-daily.net · Erschienen 9. Juli 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.7.3.

Share on: