CVE-2026-48282 Adobe ColdFusion RCE: Exploit in 2 Stunden

CVE-2026-48282 Adobe ColdFusion RCE ist die am schnellsten bewaffnete CVSS-10.0-Schwachstelle, die DIESEC 2026 bisher verfolgt hat: Angreifer nutzten Adobes maximal kritische ColdFusion-Lücke bereits zwei Stunden nach der öffentlichen Bekanntgabe aktiv aus. Die CISA hat US-Bundesbehörden bis zum 10. Juli Zeit zum Patchen gegeben.
Was ist passiert
Adobes Security-Bulletin APSB26-68 vom 30. Juni 2026 schloss elf CVEs in ColdFusion, sieben davon mit CVSS 10.0 bewertet. Aktiv ausgenutzt wird aktuell CVE-2026-48282 Adobe ColdFusion RCE, eine Path-Traversal-Schwachstelle im RDS-FILEIO-Handler (Remote Development Services). Der Handler übernimmt einen vom Nutzer kontrollierten Dateipfad aus einer RPC-Anfrage und reicht ihn ungeprüft an die zugrunde liegende Dateisystem-API weiter — ohne Pfad-Kanonisierung, Eingabevalidierung oder Verzeichnisgrenzen-Prüfung.
Ein Angreifer, der einen ColdFusion-Server mit aktiviertem RDS und deaktivierter RDS-Authentifizierung erreichen kann, kann einen präparierten Pfad mit Traversal-Sequenzen (etwa ../) oder einen nicht autorisierten absoluten Pfad übermitteln und beliebige Dateien überall im Dateisystem schreiben — einschließlich des Web-Root-Verzeichnisses. Das Ergebnis ist unauthentifizierte Remote Code Execution in einer einzigen Anfrage, ganz ohne Zugangsdaten.
Laut der Threat-Intelligence-Plattform KEVIntel begann die aktive Ausnutzung binnen zwei Stunden nach der öffentlichen Bekanntgabe. Die CISA nahm CVE-2026-48282 am 7. Juli 2026 in ihren Known-Exploited-Vulnerabilities-Katalog auf und setzte — gemäß Binding Operational Directive 26-04 — eine Drei-Tage-Frist für Bundesbehörden bis zum 10. Juli 2026, eine der aggressivsten KEV-Fristen des Jahres. Der Patch ist bereits verfügbar: ColdFusion 2023 Update 21 oder ColdFusion 2025 Update 10.
Warum das wichtig ist
RDS ist standardmäßig deaktiviert, und wenn es aktiviert ist, sollte eigentlich eine RDS-Authentifizierung erzwungen werden — doch beide Einstellungen bleiben in der Praxis oft aus alten Entwicklungs- oder Migrationsphasen bestehen, Jahre nachdem sie ihren Zweck erfüllt haben. Genau diese vergessene Konfiguration macht aus einem routinemäßigen Adobe-Patchzyklus einen Vorfall, der sofortiges Handeln erfordert. ColdFusion betreibt in vielen mittelständischen Unternehmen weiterhin Kundenportale, Intranet-Anwendungen und Legacy-Fachanwendungen — auch in deutschen Fertigungs- und Finanzdienstleistungsunternehmen, die ältere CF-Plattformen nie vollständig abgelöst haben.
Das Zwei-Stunden-Ausnutzungsfenster ist zudem ein eigenständiger Governance-Befund: Bei jeder internetseitig erreichbaren Plattform mit KEV-Eintrag ist „Patchen innerhalb einer Arbeitswoche“ kein überlebensfähiger Rhythmus mehr. Nach Artikel 21 der NIS2-Richtlinie müssen betroffene Unternehmen bekannte Schwachstellen zeitnah beheben — ein unpatched, internetseitig erreichbarer ColdFusion-Server nach dem 10. Juli ist sowohl ein Sicherheits- als auch ein Compliance-Risiko.
Was Sie jetzt tun sollten
- Sofortmaßnahme: Aktualisieren Sie auf ColdFusion 2023 Update 21 oder ColdFusion 2025 Update 10.
- Prüfen: Kontrollieren Sie bei jeder ColdFusion-Instanz, ob RDS aktiviert ist (ColdFusion Administrator → Debugging & Logging, oder direkte Prüfung des RDS-Dienststatus) und ob eine RDS-Authentifizierung tatsächlich konfiguriert und erzwungen wird.
- Mitigieren: Falls ein sofortiges Patchen nicht möglich ist, deaktivieren Sie den RDS-Dienst vollständig oder blockieren Sie den Netzwerkzugriff auf den RDS-Endpunkt an der Firewall — die meisten Produktivumgebungen benötigen RDS gar nicht.
- Monitoring: Prüfen Sie ColdFusion- und Webserver-Logs auf unerwartete Dateischreibvorgänge im Web-Root sowie ungewöhnliche RDS-RPC-Anfragen. Angesichts des bestätigten Zwei-Stunden-Ausnutzungsfensters sollten Treffer als wahrscheinliche Kompromittierung und nicht als Fehlalarm behandelt werden.
DIESEC Einschätzung
Wir sehen bei den größten Schwachstellen-Geschichten des Jahres 2026 immer wieder dasselbe Muster: Das ausgenutzte Zeitfenster ist die Lücke zwischen Patch-Verfügbarkeit und Patch-Anwendung, nicht die Entdeckung eines Zero-Days. Ein seit Jahren aus einer längst abgeschlossenen Entwicklungsphase aktiviert gebliebener RDS-Dienst ist ein Lehrbuchbeispiel für genau die vergessene Konfiguration, die aus einem routinemäßigen Adobe-Patchzyklus einen Vorfall am selben Tag macht.
Nicht sicher, ob RDS auf Ihren ColdFusion-Servern noch aktiviert ist, oder ob Ihr Patch-Management-Prozess innerhalb von Stunden statt Tagen reagieren kann? Kontaktieren Sie DIESEC für eine schnelle Expositions- und Patch-Verifizierungsprüfung.
Quellen: Adobe Security Bulletin APSB26-68 | Help Net Security
Veröffentlicht: 2026-07-09 | Kategorie: Tägliche News | ~4 Min. Lesezeit

