ColdFusion CVE-2026-48282: Aktive Ausnutzung und Frist des CISA für US-Bundesbehörden endet heute

Die Path-Traversal-Schwachstelle in Adobe ColdFusion wurde am 30. Juni behoben, aber Angreifer begannen innerhalb von zwei Stunden mit der Ausnutzung. Das CISA setzte den 10. Juli als Frist für Bundesbehörden fest.
Path Traversal mit CVSS 10 und kurzer Ausnutzungsfenster
Der CVE-2026-48282 ist eine Path-Traversal-Schwachstelle in Adobe ColdFusion, die mit CVSS 10.0 bewertet ist, der Höchstnote. Die Schwachstelle wurde am 30. Juni behoben, im selben Paket, das sechs weitere kritische Korrekturen für die Plattform brachte. Das Fenster zwischen Patch und Ausnutzung war kurz: Forscher von watchTowr veröffentlichten am 2. Juli eine technische Analyse, und laut dem Threat-Intel-Dienst KEVIntel begannen die ersten Honeypots, Stunden später Ausnutzungsversuche zu erhalten. Laut einer weiteren Lesart derselben Quelle begannen gültige Angriffe innerhalb von zwei Stunden nach der öffentlichen Offenlegung.
Die Ausnutzung funktioniert nur auf Servern mit aktivierten Remote Development Services (RDS) und deaktivierter RDS-Authentifizierung. Diese Kombination ist nicht werkseitig standardmäßig, kommt jedoch häufig in veralteten Intranet-Umgebungen und in Entwicklungsinstanzen vor, die in der Produktion vergessen wurden. Adobe fordert ein sofortiges Upgrade auf ColdFusion 2025 Update 10 oder ColdFusion 2023 Update 21.
CISA setzt Frist für das Inland fest, globaler Privatsektor bleibt exponiert
Am 7. Juli fügte das CISA den CVE dem Katalog der bekannten ausgenutzten Schwachstellen hinzu. Die Binding Operational Directive 26-04 verpflichtet US-amerikanische zivile Bundesbehörden, das Problem bis zum 10. Juli zu beheben, eine Frist, die an diesem Freitag abläuft. Der nationale Druck ist streng, doch der globale Privatsektor operiert ohne vergleichbare Aufsicht und folgt dem Offenlegungsrhythmus des Anbieters.
Bis zum Zeitpunkt der Veröffentlichung dieses Artikels gibt es keinen benannten Geschäftskunden, der als bestätigte Opfer gilt. Keine Ransomware-Gruppe hat den Vorfall bislang beansprucht, und Adobe hat sich öffentlich nicht zu Ausnutzungsfällen geäußert, außer zur Bestätigung des CVE. Incident-Response-Analysten beschreiben das beobachtete Muster als Scan-and-Drop, gefolgt von einem Upload von Webshells und Remote-Ausführung unter dem Prozessprivileg von ColdFusion.
Was über den Vektor bestätigt ist
Der Angriff exploitiert die Manipulation des Pfads, um Dateien außerhalb des Web-Roots zu schreiben, was den Weg für die Bereitstellung von Webshells und die Remote-Ausführung öffnet. SecurityWeek und Bleeping Computer beschreiben das beobachtete Ausnutzungsmuster, und Berichte von Threat Intel deuten auf die IP-Adresse 103.207.14.220, die in Indien lokalisiert ist, als Ursprung der ersten Scans hin. Es gibt keine öffentliche Zuordnung zu einer spezifischen Gruppe.
Adobe hat die Korrekturreihe als Priorität 1 eingestuft, das höchste Label in ihrem internen Schema. Dies weist auf ein hohes Risiko einer Ausnutzung hin und empfiehlt ein Patch innerhalb von 72 Stunden ab der Offenlegung. Für Server, die in diesem Zeitraum dem Internet ausgesetzt sind, fordert Adobe eine Suche nach Indikatoren wie unbefugten Dateien unter dem Web-Root und im Verzeichnis /CFIDE/.
Warum ColdFusion 2026 weiterhin ein Ziel ist
Adobe hat die Plattform als ein schnelles Entwicklungsinstrument für Intranets und Regierungsportale positioniert. Die installierte Basis ist zahlenmäßig nicht groß, konzentriert jedoch sensible Vermögenswerte. In den letzten zwei Jahren hat ColdFusion mindestens fünf Einträge im KEV-Katalog angehäuft, einschließlich des CVE-2024-53961, das 2024 im gleichen Path-Traversal-Muster ausgenutzt wurde. Latest Hacking News bezeichnete die wiederholte Reihe als "Designfehler, kein Pech" in einer am 8. Juli veröffentlichten Analyse. Die architektonische Kritik ist hart, bleibt jedoch aufgrund der Wiederholung des Vektors bestehen.
Für den Käufer besteht die praktische Entscheidung zwischen sofortigem Patchen oder geplanter Migration. Die Migration eines ColdFusion-Portals auf einen modernen Stack kostet in der Regel zwischen 400.000 und 2 Millionen US-Dollar, abhängig vom Umfang des benutzerdefinierten CFML, was das Überleben von Legacy-Vermögenswerten innerhalb des Risikofensters erklärt. Der KEV-Katalog fungiert in der Praxis als der Zeitmesser, der das Board dazu zwingt, die Kosten der Verzögerung zu sehen.
Was sich für den CISO in zwei Märkten ändert
In den USA ist die Lesart operativ: die Frist des CISA gilt für Bundesbehörden, aber B2B-Verträge mit der Regierung erfordern in der Regel die Parität der Patches. Wenn Ihr Unternehmen Bundeskunden bedient, wird der Audit-Zyklus der nächsten RFP nach dieser Korrektur fragen. Es ist ratsam, heute eine interne Bestandsaufnahme durchzuführen, um vergessene ColdFusion-Server in Tochtergesellschaften zu lokalisieren.
Im Vereinigten Königreich hat das NCSC eine Mitteilung mit dem gleichen dringenden Text für Whitehall-Behörden und lokale Räte herausgegeben, jedoch ohne vergleichbare BOD. Britische Banken mit Legacy-Intranets in ColdFusion erhalten dieselbe Anleitung auf freiwilliger Basis; das Volumen der Patches in den nächsten 72 Stunden wird das Proxysignal für die Londoner Kaufseite sein. In Indien verdient die Coinzidenz der Ursprungs-IP mit der Region, in der sich die größten MSSP-Lieferzentren auf dem Subkontinent befinden, Aufmerksamkeit: Wenn dieselbe Infrastruktur in anderen Kampagnen wiederverwendet wird, steigen die Containerkosten für den asiatischen Kunden, der SOC outsourct. Der alte Vermögenswert hat politische Kosten, und der KEV-Zeitmesser läuft.