Adobe ColdFusion

Kritische Adobe-Sicherheitslücke aktiv ausgenutzt

Adobe
Bildquelle: chrisdorney/Shutterstock.com

Eine kritische Sicherheitslücke in Adobe ColdFusion mit dem maximalen CVSS-Wert 10 wird aktiv ausgenutzt. Angreifer reagierten innerhalb von zwei Stunden.

In der Webentwicklungsplattform Adobe ColdFusion wird eine kritische Sicherheitslücke mit der Kennung CVE-2026-48282 aktiv für Cyberangriffe ausgenutzt. Die Schwachstelle weist im Common Vulnerability Scoring System mit einem Wert von 10 von 10 die höchste Bedrohungsstufe auf. Es handelt sich um einen sogenannten Path-Traversal-Fehler im Remote Development Services (RDS) FILEIO-Handler des Systems. Unauthentifizierte Angreifer können über das Netzwerk manipulierte HTTP-Anfragen senden, um beliebige Dateien auf den Server zu schreiben und Schadcode mit den Rechten des ColdFusion-Dienstkontos auszuführen. Betroffen sind die Versionen ColdFusion 2025 Update 9 und älter sowie ColdFusion 2023 Update 20 und älter.

Anzeige

Schnelle Ausnutzung bei Adobe nach Veröffentlichung

Adobe hatte am 30. Juni 2026 im Rahmen des Sicherheitsbulletins APSB26-68 korrigierte Software-Versionen bereitgestellt. Dazu gehören ColdFusion 2025 Update 10 und ColdFusion 2023 Update 21. Zum Zeitpunkt der Veröffentlichung lagen dem Hersteller nach eigenen Angaben keine Erkenntnisse über eine aktive Ausnutzung vor. Die spezialisierte Plattform KEVIntel registrierte jedoch Angriffe in Echtzeit, unmittelbar nachdem IT-Sicherheitsforscher am 2. Juli detaillierte technische Analysen publiziert hatten. Ryan Dewhurst, Gründer von KEVIntel, erklärte dazu: „KEVIntel hat eine Ausnutzung in freier Wildbahn innerhalb unseres globalen Honeypot-Netzwerks erfasst.“

Warnungen internationaler Sicherheitsbehörden

Aufgrund der nachgewiesenen Ausnutzung haben staatliche Cybersicherheitsbehörden reagiert. Das Canadian Centre for Cyber Security gab eine entsprechende Warnung heraus. Zudem nahm die US-amerikanische Cybersecurity and Infrastructure Security Agency (CISA) die Schwachstelle am 7. Juli 2026 in ihren Katalog aktiv ausgenutzter Sicherheitslücken auf. Piyush Sharma, Geschäftsführer des IT-Unternehmens Tuskira, kommentierte den Vorfall:

„Adobe hat schnell reagiert, um einen Patch zu veröffentlichen, aber wir sehen, wie dramatisch sich das Entscheidungsfenster verkürzt hat. Berichten zufolge begannen Angreifer innerhalb von zwei Stunden nach der öffentlichen Bekanntgabe mit der Ausnutzung der Sicherheitslücke, lange bevor viele Organisationen Patches in Produktionsumgebungen realistisch validieren, priorisieren, testen und bereitstellen konnten.“

Anzeige

Piyush Sharma, Geschäftsführer des IT-Unternehmens Tuskira

Ein erfolgreicher Angriff setzt voraus, dass die RDS-Funktion aktiviert und die dazugehörige Authentifizierung unkonfiguriert oder deaktiviert ist.

(red)

Anzeige

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.