Adobe hat für seine Webapplikationsplattform Coldfusion Anfang Juli einen Patch für eine gravierende Schwachstelle herausgegeben. Bei dem Leck handelt es sich um
CVE-2026-48282. Das Risiko gilt mit einem CVSS Score von 10.0 als äusserst kritisch. Es handelt sich um ein Path-Traversal-Problem, das Angreifern ermöglicht, auf einem ungepatchten Zielsystem ohne Authentifizierung beliebige Dateien zu lesen und zu schreiben, was auch zur Ausführung von Code dienen kann.
X-User Ryan Dewhurst merkt
in einem Post an, die Schwachstelle sei innert zwei Stunden nach Bekanntwerden des Patch von
Adobe für einen Angriff genutzt worden – die bisher schnellste Reaktion von Cyberkriminellen, die er auf Basis des Honeypot-Netzwerks von Kevintel beobachtet habe. Es wird allen Betreibern von Coldfusion-Servern dringend angeraten, den Patch so schnell wie möglich aufzuspielen, falls es noch nicht geschehen ist. Betroffen von der Schwachstelle sind Coldfusion 2025.9, 2023.20 und frühere Versionen. Die anderen Sicherheitslücken, die Adobe mit den Patches von letzter Woche geschlossen hat, wurden noch nicht für Angriffe verwendet.
(ubi)