Adobe ColdFusion: mehrere kritische Sicherheitslücken (CVE-2026-48316, CVE-2026-48282)
Dieser Text wurde mit künstlicher Intelligenz (KI) erstellt.Update 08.07.2026: Die US-amerikanische Cybersecurity and Infrastructure Security Agency (CISA) hat CVE-2026-48282 in ihren Known Exploited Vulnerabilities Catalog aufgenommen und warnt vor aktiver Ausnutzung im Netz. Details siehe unten.
Am 30. Juni 2026 veröffentlichte Adobe im Rahmen des Sicherheitsbulletins APSB26-68 Details zu mehreren kritischen Schwachstellen in Adobe ColdFusion. Die als CVE-2026-48316 und CVE-2026-48282 klassifizierten Lücken wurden jeweils mit dem maximalen Schweregrad von CVSS 10.0 bewertet. Sie ermöglichen Angreifern die Ausführung von beliebigem Code (Remote Code Execution, RCE) auf betroffenen Servern, ohne dass eine Authentifizierung oder Benutzerinteraktion erforderlich ist.
Das Bulletin APSB26-68 umfasst insgesamt 11 CVEs, von denen 6 den maximalen CVSS-Score von 10.0 erreichen. Für eine vollständige Patch-Priorisierung empfiehlt sich die Lektüre des Adobe Security Bulletins APSB26-68.
Die Fakten im Überblick:
CVE-IDs: CVE-2026-48316, CVE-2026-48282
Schweregrad: CVSS 10.0 (Kritisch)
Betroffene Software: Adobe ColdFusion 2023 (Update 20 und früher), 2025 (Update 9 und früher)
Patch: Verfügbar in ColdFusion 2023 Update 21 und 2025 Update 10
Aktive Ausnutzung: CVE-2026-48282 wird laut CISA aktiv ausgenutzt
Empfehlung: Installation der Updates mit Priorität 1 (innerhalb von 72 Stunden für exponierte Systeme)
Technische Analyse: CVE-2026-48316
Die Ursache für CVE-2026-48316 ist eine unzureichende Eingabevalidierung (CWE-20: Improper Input Validation) in einer Kernkomponente von Adobe ColdFusion. Ein Angreifer kann über das Netzwerk eine speziell präparierte Anfrage an einen verwundbaren Server senden und dadurch Code im Sicherheitskontext des ausführenden Benutzers ausführen.
Der CVSS-Vektor AV:N/AC:L/PR:N/UI:N/S:C verdeutlicht das hohe Risiko:
Attack Vector: Network (AV:N): Die Lücke ist aus der Ferne über das Netzwerk ausnutzbar.
Attack Complexity: Low (AC:L): Für einen erfolgreichen Angriff sind keine komplexen Vorbedingungen notwendig.
Privileges Required: None (PR:N): Der Angreifer benötigt keine Anmeldedaten oder bestehende Berechtigungen.
User Interaction: None (UI:N): Es ist keine Aktion eines Benutzers (z. B. ein Klick auf einen Link) erforderlich.
Scope: Changed (S:C): Ein erfolgreicher Angriff kann die Sicherheitsgrenzen der Anwendung durchbrechen und potenziell die Kontrolle über das zugrunde liegende System ermöglichen.
Zum Zeitpunkt der Patch-Veröffentlichung am 30. Juni 2026 lagen Adobe nach eigenen Angaben keine Informationen über eine aktive Ausnutzung von CVE-2026-48316 vor.
CVE-2026-48282 ist eine Path-Traversal-Schwachstelle (CWE-22) in den Remote Development Services (RDS) von Adobe ColdFusion. Bereits eine einzelne präparierte, nicht authentifizierte HTTP-Anfrage an eine erreichbare RDS-Schnittstelle genügt, um Remote Code Execution zu erzielen. Die Lücke wird mit dem maximalen Schweregrad CVSS 10.0 bewertet (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H).
Laut einem aktualisierten Bericht von The Hacker News (Stand: 3. Juli 2026) wurde CVE-2026-48282 zwischenzeitlich aktiv im Netz ausgenutzt. Die US-amerikanische Cybersecurity and Infrastructure Security Agency (CISA) hat diese Schwachstelle in ihren Known Exploited Vulnerabilities (KEV) Catalog aufgenommen. Dies unterstreicht die unmittelbare Gefahr: Angreifer verfügen über funktionierende Exploits und setzen diese gezielt gegen ungepatchte ColdFusion-Instanzen ein.
Die Kombination aus maximalem Schweregrad, einfacher Ausnutzbarkeit und bestätigter aktiver Ausnutzung macht CVE-2026-48282 zu einer der dringendsten Bedrohungen für exponierte ColdFusion-Server.
Betroffene Systeme und Risikobewertung
Die Sicherheitslücken betreffen die folgenden Versionen der weit verbreiteten Plattform für Webanwendungen:
Adobe ColdFusion 2025: Update 9 und alle früheren Versionen
Adobe ColdFusion 2023: Update 20 und alle früheren Versionen
Adobe stuft alle genannten Schwachstellen mit der höchsten Dringlichkeitsstufe ein. Das „Priority Rating 1″ ist eine klare Empfehlung, Systeme mit Internetverbindung innerhalb von 72 Stunden zu aktualisieren. Jeder öffentlich erreichbare und ungepatchte ColdFusion-Server stellt ein erhebliches Sicherheitsrisiko dar. Die bestätigte aktive Ausnutzung von CVE-2026-48282 erhöht die Dringlichkeit zusätzlich.
Empfohlene Maßnahmen und Patch-Informationen
Unternehmen sollten umgehend handeln, um ihre Systeme zu schützen. Die folgenden Maßnahmen werden empfohlen:
Sofortmaßnahmen
Patches installieren: Aktualisieren Sie Ihre Instanzen auf die von Adobe bereitgestellten, fehlerbereinigten Versionen:
Adobe ColdFusion 2025 Update 10
Adobe ColdFusion 2023 Update 21
Priorisierung: Identifizieren und priorisieren Sie alle extern erreichbaren ColdFusion-Server für die sofortige Aktualisierung. Angesichts der aktiven Ausnutzung von CVE-2026-48282 sollte die Installation der Patches ohne Verzögerung erfolgen.
Kurzfristige Maßnahmen
Abhängigkeiten prüfen: Stellen Sie sicher, dass der genutzte MySQL Java Connector sowie die zugrundeliegende JDK/JRE Long-Term-Support-Version auf dem neuesten Stand sind.
Konfiguration härten: Wenden Sie die Empfehlungen aus dem offiziellen „ColdFusion Security Configuration and Lockdown Guide“ von Adobe an, um die Angriffsfläche zu reduzieren.
Incident Response vorbereiten: Prüfen Sie Ihre Systeme auf Kompromittierungsmerkmale, insbesondere wenn diese vor der Patch-Installation exponiert waren.
Langfristige Maßnahmen
Monitoring etablieren: Implementieren Sie ein kontinuierliches Schwachstellen- und Lieferantenrisikomanagement (Vendor Risk Management), um auf zukünftige Bedrohungen strukturiert reagieren zu können.
DACH- und EU-Relevanz
Unternehmen und Behörden im deutschsprachigen Raum, die Adobe ColdFusion als Bestandteil wesentlicher oder wichtiger Dienste betreiben, sind von den Anforderungen der NIS-2-Richtlinie betroffen. Artikel 21 NIS-2 verpflichtet betroffene Betreiber, kritische Schwachstellen unverzüglich zu beheben und angemessene technische Schutzmaßnahmen zu ergreifen. Kommt es infolge einer Ausnutzung dieser Schwachstellen zu einem sicherheitsrelevanten Vorfall mit Auswirkungen auf personenbezogene Daten, greift zudem die Meldepflicht nach Art. 33 DSGVO: Verantwortliche müssen die zuständige Aufsichtsbehörde innerhalb von 72 Stunden nach Bekanntwerden des Vorfalls informieren. Betreiber kritischer Infrastrukturen (KRITIS) sollten darüber hinaus die einschlägigen BSI-Empfehlungen zur Härtung exponierter Webserver-Komponenten berücksichtigen.
Die Aufnahme von CVE-2026-48282 in den CISA KEV Catalog unterstreicht die internationale Relevanz dieser Bedrohung. Auch wenn CISA eine US-Behörde ist, werden die dort gelisteten Schwachstellen regelmäßig von Angreifern weltweit ausgenutzt.
Wie LocateRisk bei der Absicherung unterstützt
Schwachstellen wie CVE-2026-48316 und CVE-2026-48282 verdeutlichen die Notwendigkeit, die eigene externe Angriffsfläche kontinuierlich zu überwachen. Oft sind es vergessene oder undokumentierte Systeme (Schatten-IT), die das größte Risiko darstellen: ColdFusion-Instanzen, die einst für ein Projekt aufgesetzt wurden, nicht mehr aktiv gepflegt werden und dennoch aus dem Internet erreichbar sind, tauchen in keinem internen Inventar auf – und bleiben deshalb beim manuellen Patching-Prozess unsichtbar.
Eine External Attack Surface Management (EASM) Lösung wie LocateRisk identifiziert automatisiert alle extern erreichbaren IT-Assets Ihres Unternehmens. Dienste wie Adobe ColdFusion werden durch Fingerprinting von HTTP-Headern, spezifischen Dateipfaden (z. B. /CFIDE/) und anderen Merkmalen erkannt. So erhalten IT-Verantwortliche einen schnellen Überblick, wo potenziell verwundbare Instanzen betrieben werden, und können die Reaktionszeit erheblich verkürzen.
Ergänzend hilft ein automatisiertes Vendor Risk Management, die Sicherheitslage von Dienstleistern und Softwarelieferanten zu bewerten, die ebenfalls ColdFusion einsetzen könnten. Die LocateRisk-Plattform wird in zertifizierten deutschen Rechenzentren betrieben und ist für den Betrieb nach DSGVO-Anforderungen konzipiert. So unterstützt sie Unternehmen dabei, ihre IT-Infrastruktur nach Standards wie dem BSI IT-Grundschutz abzusichern.
Aktive Ausnutzung von CVE-2026-48282 (The Hacker News, aktualisiert 3. Juli 2026):thehackernews.com
Kennen Sie Ihre externe Angriffsfläche?
Exponierte und ungepatchte Systeme sind eine der häufigsten Ursachen für erfolgreiche Cyberangriffe. LocateRisk bietet einen kontinuierlichen Überblick über Ihre externen IT-Systeme und identifiziert Sicherheitsrisiken, bevor sie zu einem Problem werden.
Betroffen sind Adobe ColdFusion 2025 bis einschließlich Update 9 sowie Adobe ColdFusion 2023 bis einschließlich Update 20. Ältere, nicht mehr unterstützte Versionen sind potenziell ebenfalls gefährdet.
Adobe hat alle genannten Schwachstellen mit der höchsten Priorität (Priority 1) eingestuft. Administratoren von öffentlich erreichbaren Systemen sollten das Update innerhalb von 72 Stunden installieren. Angesichts der bestätigten aktiven Ausnutzung von CVE-2026-48282 ist eine sofortige Installation ohne Verzögerung dringend empfohlen.
Ja. CVE-2026-48282 wird laut CISA aktiv im Netz ausgenutzt und wurde in den Known Exploited Vulnerabilities Catalog aufgenommen. Für die zweite ColdFusion-Lücke CVE-2026-48316 lagen zum Zeitpunkt der Patch-Veröffentlichung am 30. Juni 2026 keine Informationen über eine aktive Ausnutzung vor.
CVE Quick Check
Prüfen Sie in wenigen Minuten, ob zu einer aktuellen CVE Hinweise auf Ihrer extern sichtbaren Angriffsfläche erkennbar sind.
Grobe Einschätzung in wenigen Minuten per E-Mail.
Details im kostenlosen Gespräch mit einem LocateRisk Consultant.
Das erhalten Sie per E-Mail
UnternehmenIhre Firma GmbH
Geprüfte CVECVE-2024-3094
Passive Bewertung
Hinweise zur CVEHinweise gefunden
Mehr erfahren, Demo buchen oder einfach mal kurz austauschen? Wir freuen uns!
We use cookies to optimize our website and our service.
Functional
Immer aktiv
Die technische Speicherung oder der Zugang ist unbedingt erforderlich für den rechtmäßigen Zweck, die Nutzung eines bestimmten Dienstes zu ermöglichen, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wird, oder für den alleinigen Zweck, die Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz durchzuführen.
Vorlieben
Die technische Speicherung oder der Zugriff ist für den rechtmäßigen Zweck der Speicherung von Präferenzen erforderlich, die nicht vom Abonnenten oder Benutzer angefordert wurden.
Statistics
Die technische Speicherung oder der Zugriff, der ausschließlich zu statistischen Zwecken erfolgt.Die technische Speicherung oder der Zugriff, der ausschließlich zu anonymen statistischen Zwecken verwendet wird. Ohne eine Vorladung, die freiwillige Zustimmung deines Internetdienstanbieters oder zusätzliche Aufzeichnungen von Dritten können die zu diesem Zweck gespeicherten oder abgerufenen Informationen allein in der Regel nicht dazu verwendet werden, dich zu identifizieren.
Marketing
Die technische Speicherung oder der Zugriff ist erforderlich, um Nutzerprofile zu erstellen, um Werbung zu versenden oder um den Nutzer auf einer Website oder über mehrere Websites hinweg zu ähnlichen Marketingzwecken zu verfolgen.