Skip to content

CVE-2026-48282: kriitilist Adobe ColdFusioni turvaauku rünnatakse juba aktiivselt

Kokkuvõtvalt: Autentimist mittenõudev ja kaugelt ärakasutatav turvaauk CVE-2026-48282 ColdFusionis võimaldab suvaliste failide kirjutamist ja koodi käivitamist, kui RDS on aktiveeritud ja autentimiseta.

CVSS-hindega 10 hinnatud Adobe ColdFusioni turvaauku hakati aktiivselt ära kasutama kahe tunni jooksul pärast selle avaliku analüüsi ilmumist. CISA ja Kanada ametiasutused on hoiatanud rünnakute eest mõjutatud süsteemidele.

Turvaauk CVE-2026-48282 puudutab Adobe ColdFusioni ja võimaldab autentimist mittenõudvatel ründajatel Remote Development Services’i (RDS) FILEIO-käsitleja teekonna läbimise (path traversal) vea kaudu kirjutada serverisse suvalisi faile ning käivitada pahavara ColdFusioni teenusekonto õigustes. Common Vulnerability Scoring System hindab turvaauku väärtusega 10,0 ehk kriitiliseks. Mõjutatud on ColdFusion 2025 Update 9 ja varasemad versioonid ning ColdFusion 2023 Update 20 ja varasemad versioonid.

Adobe avaldas 30. juunil 2026 parandused bülletääni APSB26-68 raames (ColdFusion 2025 Update 10, ColdFusion 2023 Update 21). Avaldamise hetkel ei olnud tootjal andmeid aktiivse ärakasutamise kohta. Pärast seda, kui IT-turvateadlased avaldasid 2. juulil üksikasjaliku tehnilise analüüsi, registreeris spetsialiseerunud platvorm KEVIntel rünnakuid reaalajas. KEVInteli asutaja Ryan Dewhurst kinnitas: „KEVIntel tuvastas ärakasutamist looduses meie globaalses honeypot-võrgustikus.”

Canadian Centre for Cyber Security andis välja hoiatuse. USA küberturvalisuse ja infrastruktuuri turbeamet (CISA) lisas turvaaugu 7. juulil 2026 oma aktiivselt ärakasutatavate turvaaukude kataloogi. Tuskira tegevjuht Piyush Sharma kommenteeris intsidendi ajaraamistikku: „Ründajad alustasid ärakasutamist kahe tunni jooksul pärast avalikustamist — kaua enne seda, kui organisatsioonidel oleks realistlikult olnud võimalik paikasid valideerida, prioritiseerida, testida ja tootmiskeskkondades juurutada.”

Eduka rünnaku eelduseks on, et RDS-funktsioon on aktiveeritud ning sellega seotud autentimine on konfigureerimata või välja lülitatud. Organisatsioonid, kellel on aktiivsed ColdFusioni instantsid, peaksid viivitamatult kontrollima, et RDS ei oleks tootmissüsteemile ligipääsetav, ning paigaldama saadaolevad paigad viivitamata.


Allikas: www.it-daily.net · Avaldatud 9. juulil 2026
Lumi AI News — tehisintellekti abil kureeritud vastavalt tehisintellektimääruse artiklile 50. Parafraseerimine ja klassifitseerimine Lumi News Pipeline v1.7.3 poolt.

Share on: