Hauptanalyse
Sicherheit & Risiko5 Min.

ColdFusion unter Beschuss: CISA zwingt US-Bundesbehörden, CVE 10.0 bis Freitag zu beheben

Administrador federal em sala de servidores revisando diretriz da CISA impressa com data de sexta marcada em vermelho, sob luz baixa de luminária.

Die Path-Traversal-Schwachstelle erhielt die Höchstwertung und wurde zwei Stunden nach dem technischen Bulletin aktiv ausgenutzt. Die CISA setzte eine Frist bis zum 10. Juli für die US-Bundesbehörden.

Die CISA hat am Dienstag CVE-2026-48282, eine Path-Traversal-Schwachstelle mit einem CVSS von 10.0 in Adobe ColdFusion, in ihr Verzeichnis der Bekannten Ausgenutzten Schwachstellen aufgenommen. Alle Bundesbehörden der Vereinigten Staaten müssen bis Freitag, den 10. Juli, den Patch anwenden oder die Server vom Netz nehmen. Es ist das zweite Mal in drei Jahren, dass eine maximale Schwachstelle von ColdFusion aufgrund aktiver Ausnutzung in das Verzeichnis aufgenommen wurde.


Der Fehler befindet sich im Handler FILEIO der Remote Development Services (RDS), einer Schnittstelle, die in Entwicklungsumgebungen und bei alten Integrationen stets eingeschaltet ist. Ein unautorisierter Angreifer kann mit einer einzigen gefälschten HTTP-Anfrage Dateien außerhalb des erlaubten Verzeichnisses lesen, schreiben, umbenennen und löschen. Resecurity beschreibt in einer separaten Analyse, die in ihrem Blog veröffentlicht wurde, den Vektor als Arbitrary File Write mit direkter Eskalation zur Remote Code Execution. Die betroffenen Versionen sind ColdFusion 2025 vor dem Build Update 10 und ColdFusion 2023 vor dem Build Update 21. Adobe hat die Patches am 30. Juni bereitgestellt und die Aktualisierung als Priorität 1 klassifiziert, eine Kategorie, die Produkten mit einer aktuellen Geschichte der Ausnutzung vorbehalten ist.


Zwei Stunden zwischen dem Bulletin und dem ersten Exploit


Ryan Dewhurst, Gründer von KEVIntel, registrierte Versuche, die von Honeypot-Sensoren aufgefangen wurden, weniger als zwei Stunden nachdem watchTowr Labs eine technische Analyse der von Adobe behobenen Fehler veröffentlicht hatte. Eine der Anfragen kam von einer IP-Adresse, die in Indien geolokalisiert war und versuchte, die Datei C:\Windows\win.ini zu lesen, einen klassischen Test für Path Traversal auf Windows-Servern. WatchTowr klassifizierte das Problem als arbitrary file write, was in Kombination mit der automatischen Ausführung von .cfm-Dateien durch die ColdFusion-Engine die Installation eines Webshells ermöglicht, ohne dass Zugangsdaten erforderlich sind.


Der RDS ist standardmäßig in neuen Installationen nicht aktiviert. Das unwichtige Detail in formalen Audits und in der Praxis entscheidend: Er bleibt in einer langen Kette alter Deployments aktiv, insbesondere in Entwicklungsumgebungen, die versehentlich dem Internet ausgesetzt sind oder innerhalb von Containern mit schlecht konfigurierten Ports laufen. SecurityWeek berichtete von Tausenden von ColdFusion-Servern, die noch in Regierungsbehörden, Anwaltskanzleien und B2B-Integratoren in Betrieb sind.


Wo das Problem zuschlägt: USA, Großbritannien und Infrastruktur von Drittanbietern


Die installierte Basis von ColdFusion bleibt auch außerhalb der Fortune 500 relevant. In den USA hat die CISA bereits 2023 (CVE-2023-26359) und 2024 ähnliche Anordnungen für Bundesbehörden erlassen, und jede Welle offenbarte verwundbare Instanzen in mindestens einem halben Dutzend Abteilungen, vom Census bis zur Small Business Administration. Im Vereinigten Königreich veröffentlicht das National Cyber Security Centre seit 2023 spezifische Bulletins zu ColdFusion, was den residualen Einsatz in Komponenten der Systeme des HMRC und bei Anbietern des National Health Service widerspiegelt. Das JPCERT/CC aus Japan reproduziert in der Regel die Warnungen der CISA innerhalb von bis zu 48 Stunden, und die relevante Exposition besteht dort in den Kreditplattformen regionaler Banken, die in den 2000er Jahren integriert wurden. Managed-Service-Anbieter, die Finanzkunden in diesen drei Märkten bedienen, tragen das Risiko in ihren eigenen Legacy-Hosting-Operationen.


Das Zeitfenster für die Anwendung des Patches ist eng. Bundes-IT-Administratoren müssen wählen, ob sie das Update außerhalb eines formalen Wartungsfensters anwenden oder den RDS extern abschalten, eine Maßnahme, die dazu neigt, interne Deployment-Pipelines zu brechen, die weiterhin auf den Dienst angewiesen sind. Externe Anbieter, die diese Umgebungen hosten, müssen dasselbe vor Freitag um sechs Uhr nachmittags nach Eastern Time der USA entscheiden, wenn die von der CISA festgelegte Frist endet.


Was vor dem Wochenende überprüft werden sollte


Die von watchTowr und Resecurity veröffentlichten Indikatoren für Kompromisse sind spezifisch: unautorisierte Dateien im Verzeichnis /CFIDE/, Erstellung von .cfm-Dateien in Ordnern, die normalerweise keine Uploads erhalten, HTTP-Anfragen mit codierten Path-Traversal-Strings für /CFIDE/main/ide.cfm. Die Priorität 1 von Adobe zeigt an, dass die technischen Details, die für ein automatisiertes Kit erforderlich sind, bereits öffentlich sind.


CVE-2026-48282 ist der zweite maximale Eintrag von ColdFusion im KEV innerhalb von drei Jahren und erscheint vier Tage nach einer weiteren Runde von sieben kritischen Schwachstellen, die von Adobe in ColdFusion und Campaign Classic behoben wurden. Für den CIO, der noch ein Application Server 12 in Betrieb hat, weil die Migrationskosten hoch erschienen, hat sich die Berechnung in dieser Woche geändert.

Hauptanalyse