Adobe schließt sieben CVSS 10.0 Sicherheitsanfälligkeiten in ColdFusion und Campaign Classic mit höchster Priorität und ohne erkennbare Ausnutzung

Sicherheitsbulletin APSB26-68 behebt 11 CVEs, sieben mit maximaler Bewertung, in ColdFusion 2025, ColdFusion 2023 und Campaign Classic 7.4.3. Adobe hat eine Prioritätsbewertung von 1 vergeben, eine Kategorie, die das Unternehmen für eine bevorstehende Ausnutzung hält.
Adobe hat am Dienstag, dem 30. Juni, das Sicherheitsbulletin APSB26-68 veröffentlicht, das 11 Sicherheitsanfälligkeiten in ColdFusion 2025, ColdFusion 2023 und Campaign Classic 7.4.3 beseitigt. Sieben der Schwachstellen wurden mit CVSS 10.0, der höchsten Bewertung, eingestuft und erhielten von Adobe die Prioritätsbewertung 1, eine Kategorie, die für Bugs reserviert ist, von denen das Unternehmen glaubt, dass Angreifer sie bald ins Visier nehmen werden. Adobe erklärt, dass bisher keine Anzeichen für eine Ausnutzung in der Produktion vorliegen, jedoch ist die Kombination aus CVSS 10 und Priorität 1 das gleiche Muster, das im Juli 2023 zur Aufnahme von zwei RCEs von ColdFusion in den Katalog der Bekannt gewordenen Sicherheitsanfälligkeiten der CISA führte.
Sechs der Schwachstellen mit der Bewertung 10 befinden sich in ColdFusion und sind drei Arten zuzuordnen: unbeschränkter Upload (CWE-434) in CVE-2026-48276 und CVE-2026-48283, unsachgemäße Eingabewalidierung (CWE-20) in CVE-2026-48277, CVE-2026-48281 und CVE-2026-48316 sowie Path Traversal (CWE-22) in CVE-2026-48282. Alle ermöglichen die Ausführung beliebigen Codes ohne Benutzerinteraktion und, im Falle der beiden Upload-Schwachstellen, ohne vorherige Authentifizierung. Ein Angreifer, der Zugang zu einer exponierten Instanz erhält, hat die vollständige Kontrolle über den Host.
Die siebte Schwachstelle mit der Bewertung 10, CVE-2026-48286, betrifft Campaign Classic und ist ein Problem mit falscher Autorisierung, das zu demselben Ergebnis der aus verschiedenen Orten stattfindenden Ausführung führt. Neben den sieben Schwachstellen enthält das Bulletin auch CVE-2026-48313 (CVSS 9.3, beliebiger Datei-Lesezugriff), CVE-2026-48315 (9.3, Eskalation von Privilegien über eine schadhafte Datei), CVE-2026-48307 (8.8, reflektiertes XSS, das zu RCE eskaliert), CVE-2026-48285 (8.6, SSRF, das die Sicherheitsanfänglichkeit umgeht) und CVE-2026-48314 (6.5, Path Traversal).
Die betroffenen Umgebungen und das Expositionsfenster
Die anfälligen Versionen sind ColdFusion 2025 bis Update 9 und ColdFusion 2023 bis Update 20. Die Korrekturen sind in ColdFusion 2025 Update 10 und ColdFusion 2023 Update 21 eingebettet. Adobe empfiehlt, diese innerhalb von 72 Stunden zu installieren, was dem Standardzeitrahmen für Bulletins der Klasse 1 entspricht. Campaign Classic erhält Updates nach Version 7.4.3.
ColdFusion bleibt in einem kommerziellen Supportzyklus für beide Versionen, aber der öffentliche Tracker von Foundeo, einer auf die Plattform spezialisierten Beratung, zeigt seit 2023 einen konstanten Fluss kritischer Bulletins. Während Administratoren den Patch in der Testumgebung prüfen, bleiben exponierte Server, die mit dem Internet verbunden sind, für diese Schwachstellen anfällig, was einen sensiblen Punkt für Regierungsanwendungen und Banken darstellt, die ColdFusion-Schnittstellen für legaccierte interne Module verwendet haben.
Code-Heritage und regulatorische Anforderungen
ColdFusion ist eine der Plattformen, von denen die meisten CIOs glauben, dass sie verstorben sind, die aber weiterhin interne Anwendungen in regulierten Segmenten unterstützt. Portale von US-Bundesbehörden, Compliance-Systeme in mittelständischen Banken in Brasilien und Mexiko, Geschäftsbereichs-Apps in australischen und britischen Versicherungen laufen weiterhin auf ColdFusion-Laufzeiten, die absichtlich hinter Lastenausgleichssystemen und CDNs verborgen wurden.
Die Foundeo listet Dutzende von Bulletins, die seit 2023 veröffentlicht wurden, und die CISA hat ColdFusion bereits als Fallstudie in Schulungen zur Inventarisierung von Legacy-Anwendungen für zivile Behörden verwendet. Das Muster, das die CISA beschreibt, ist in verschiedenen Jurisdiktionen dasselbe: Die Anwendungen laufen weiterhin aufgrund funktionaler Abhängigkeiten, selbst nachdem Migrationen auf moderne Plattformen in den Roadmaps priorisiert wurden.
Für Sicherheitsteams in Banken und Beratungen, die diese Anwendungen weiterhin betreiben, zwingt APSB26-68 zur kombinierten Betrachtung mit zwei aktuellen regulatorischen Vektoren. In den Vereinigten Staaten fordert die CISA-Direktive BOD 25-02, veröffentlicht im Februar, eine Inventarisierung von Legacy-Anwendungen mit Drittanbieter-Komponenten in der Bundesumgebung, wobei ColdFusion in der Liste der genannten Beispiele erscheint. In der Europäischen Union verpflichtet das DORA Finanzinstitute, kritische Expositionen gegenüber ICT-Anbietern innerhalb von 24 Stunden der nationalen Aufsichtsbehörde zu melden, wobei ColdFusion, wenn es eine Buchhaltungs- oder Treasury-Anwendung unterstützt, in den Anwendungsbereich fällt.
Ein Zeitrahmen von 72 Stunden bis zur Anwendung des Patches ist aus technischer Sicht akzeptabel. Die Frage, die häufig die operationale Antwort blockiert, ist: Wenn ein Regulierer vor Ablauf der Frist Kontakt aufnimmt, kann das Team beweisen, in welcher Instanz das Update angewendet wurde, wann und von wem?