Adobe ColdFusion CVE-2026-48282 ist eine Path-Traversal-Schwachstelle mit Höchstschweregrad (CVSS 10.0), über die ein nicht authentifizierter Angreifer über das Netzwerk auf Dateien eines ColdFusion-Servers zugreifen und Code darauf ausführen kann. Adobe hat sie am 30. Juni 2026 gepatcht; innerhalb weniger Tage nutzten Angreifer sie in freier Wildbahn aus, und die CISA nahm sie am 7. Juli in ihren Known-Exploited-Vulnerabilities-Katalog auf — mit einer dreitägigen Patch-Frist für Bundesbehörden. Wenn Sie einen mit dem Internet verbundenen ColdFusion-2023- oder -2025-Server betreiben, ist das Patchen dieser Schwachstelle ein Notfall und keine Aufgabe für das nächste Wartungsfenster.
Was ist CVE-2026-48282?
CVE-2026-48282 ist eine unzureichende Beschränkung eines Pfadnamens auf ein zulässiges Verzeichnis — Path Traversal, CWE-22 — in Adobe ColdFusion. Eine Path-Traversal-Schwachstelle erlaubt es einem Angreifer, einen manipulierten Pfad (man denke an ../../) zu übergeben, um aus dem Verzeichnis auszubrechen, auf das eine Anwendung eigentlich beschränkt sein soll, und so auf Dateien an anderer Stelle im System zuzugreifen. Im Fall von ColdFusion heißt es in Adobes eigener Beschreibung, die Schwachstelle „could lead to arbitrary code execution in the context of the current user" und erfordert keine Benutzerinteraktion. Sie trägt einen CVSS-3.1-Basiswert von 10.0 mit dem Vektor AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H: über das Netzwerk ausnutzbar, geringe Angriffskomplexität, keine Berechtigungen, keine Benutzerinteraktion und ein geänderter Geltungsbereich (Scope). Sie betrifft ColdFusion 2025 (Update 9 und früher) sowie ColdFusion 2023 (Update 20 und früher) und ist in ColdFusion 2025 Update 10 und ColdFusion 2023 Update 21 behoben.
Warum eine Path-Traversal-Schwachstelle die perfekte 10 erreicht
Die meisten Path-Traversal-Schwachstellen erlauben es einem Angreifer nur, Dateien zu lesen, die er nicht lesen sollte — schlimm genug, aber selten eine 10. CVE-2026-48282 erreicht den Höchstschweregrad wegen der Kombination, die der CVSS-Vektor beschreibt: Sie ist für jeden im Netzwerk erreichbar (PR:N, UI:N), sie lässt sich leicht auslösen (AC:L), und der Geltungsbereich ist geändert (S:C) — das heißt, die Auswirkung überschreitet eine Sicherheitsgrenze, statt auf die verwundbare Komponente beschränkt zu bleiben. Das praktische Ergebnis ist Arbitrary Code Execution. Auf einer Plattform wie ColdFusion wird ein Traversal, das das Schreiben oder Ablegen einer Datei erlaubt, typischerweise in dem Moment zur Remote Code Execution, in dem ein Angreifer ein schädliches CFML-Template in ein per Web bereitgestelltes Verzeichnis ablegt und es aufruft. Deshalb landet eine „Dateipfad"-Schwachstelle in derselben Bedrohungsstufe wie eine klassische Pre-Auth-RCE wie die jüngste Schwachstelle in Progress Kemp LoadMaster: kein Login, eine Anfrage, Code auf Ihrem Server.
Bereits unter Beschuss: die Ausnutzungs-Chronologie
Diese Schwachstelle ist schnell vom Patch zu realen Angriffen übergegangen. Adobe lieferte den Fix am 30. Juni aus und meldete zunächst keine bekannte Ausnutzung, aktualisierte dann jedoch sein Advisory und bestätigte eine Ausnutzung in „limited attacks". Das Canadian Centre for Cyber Security meldete am 2. Juli — zwei Tage nach der Offenlegung — Angreifer, die CVE-2026-48282 nutzten, und KEVIntel-Gründer Ryan Dewhurst protokollierte Ausnutzungsversuche, darunter einen von einer IP-Adresse in Indien. Die CISA nahm sie dann am Dienstag, dem 7. Juli, in den KEV-Katalog auf und wies die Bundesbehörden an, bis zum 10. Juli zu patchen. Sie kam nicht allein: Die CISA listete sie an jenem Tag zusammen mit drei weiteren aktiv ausgenutzten Schwachstellen auf, darunter zwei weitere perfekte Zehner — eine Schwachstelle mit unauthentifiziertem Datei-Upload in Joomla SP Page Builder (CVE-2026-56290) und eine JoomShaper-Schwachstelle (CVE-2026-48908) — sowie eine Autorisierungsumgehung in Langflow (CVE-2026-55255). ColdFusion taucht seit Jahren immer wieder auf dieser KEV-Liste auf, also behandeln Sie jede exponierte Instanz als dauerhaftes Angriffsziel.
Bin ich betroffen, und was ist behoben?
Wenn Sie ColdFusion 2023 oder 2025 betreiben und das Update von Ende Juni nicht eingespielt haben, gehen Sie davon aus, dass Sie verwundbar sind. Der Fix ist ein unkompliziertes Adobe-Update; ungewöhnlich ist die Dringlichkeit.
| ColdFusion-Version | Status | Maßnahme |
|---|---|---|
| 2025, Update 9 oder früher | Verwundbar | Update 10 sofort einspielen |
| 2025, Update 10 | Behoben | Sie sind gepatcht — Build überprüfen |
| 2023, Update 20 oder früher | Verwundbar | Update 21 sofort einspielen |
| 2023, Update 21 | Behoben | Sie sind gepatcht — Build überprüfen |
| Ältere / End-of-Life-Versionen | Kein Fix in Sicht | Auf eine unterstützte Version aktualisieren |
Das Einspielen des Updates ist auf einem mit dem Internet verbundenen System nur die halbe Arbeit; da die Angriffe den meisten Patch-Fenstern vorausgingen, sollten Sie von einer möglichen Kompromittierung ausgehen und aktiv danach suchen, statt nur die Tür zu schließen.
Was jetzt zu tun ist
- Patchen Sie auf ColdFusion 2025 Update 10 oder 2023 Update 21 auf jeder Instanz und bestätigen Sie anschließend, dass der laufende Build das Update tatsächlich widerspiegelt.
- Nehmen Sie ColdFusion aus dem offenen Internet. Die Admin-Oberfläche und der Server selbst sollten hinter einem VPN, einer Allowlist oder einem Reverse Proxy liegen — und nicht direkt erreichbar sein. Die allgemeine Härtungs-Baseline aus unserem Leitfaden zur sicheren ersten Stunde eines VPS gilt auch hier: Minimieren Sie das Exponierte, bevor Sie sich um alles andere kümmern.
- Suchen Sie nach Anzeichen einer Kompromittierung. Da die Ausnutzung der KEV-Frist vorauslief, prüfen Sie per Web bereitgestellte Verzeichnisse auf unerwartete
.cfm/.cfml-Dateien, durchsuchen Sie die Access-Logs nach Traversal-Mustern und Anfragen an ungewöhnliche Pfade und prüfen Sie auf neue geplante Aufgaben oder Admin-Konten. - Wenn Sie nicht sofort patchen können, schalten Sie als Übergangslösung eine WAF-Regel oder einen Reverse-Proxy-Filter davor, um Traversal-Sequenzen zu blockieren und den Zugriff auf die ColdFusion-Admin-Endpunkte einzuschränken — kein Ersatz für das Update.
Da die CISA den Bundesbehörden eine Frist bis zum 10. Juli gesetzt hat, sollte ein privater ColdFusion-Betreiber seine Reaktion in Stunden und Tagen messen, nicht in Wochen. Es ist dasselbe Vorgehen wie bei jedem anderen „Jetzt patchen"-Advisory, etwa den Zero-Days im Patch Tuesday im Juni 2026: aktualisieren, Angriffsfläche reduzieren und prüfen, ob bereits jemand hineingekommen ist.
Häufig gestellte Fragen
Wird CVE-2026-48282 aktiv ausgenutzt?
Ja. Adobe hat sein Advisory aktualisiert und eine Ausnutzung in begrenzten Angriffen bestätigt, das Canadian Centre for Cyber Security meldete am 2. Juli eine Nutzung in freier Wildbahn, und die CISA nahm die Schwachstelle am 7. Juli in ihren Known-Exploited-Vulnerabilities-Katalog auf. Die aktive Ausnutzung ist der Grund, warum die Patch-Frist für Bundesbehörden nur drei Tage betrug.
Auf welche ColdFusion-Versionen muss ich aktualisieren?
ColdFusion 2025 ist in Update 10 behoben und ColdFusion 2023 in Update 21. Alles auf Update 9 (2025) oder Update 20 (2023) und früher ist verwundbar. Ältere ColdFusion-Versionen am Ende ihres Lebenszyklus erhalten keinen Fix und sollten aktualisiert werden.
Ist für die Ausnutzung ein Login erforderlich?
Nein. Der CVSS-Vektor zeigt PR:N und UI:N — keine Berechtigungen und keine Benutzerinteraktion — und die Schwachstelle ist über das Netzwerk ausnutzbar, was ein wesentlicher Grund dafür ist, dass sie den Höchstwert von 10.0 erreicht. Jede über das Internet erreichbare, ungepatchte Instanz ist gefährdet.
Ich habe spät gepatcht — könnte ich bereits kompromittiert sein?
Möglicherweise. Angriffe wurden innerhalb weniger Tage nach der Offenlegung beobachtet, bevor viele Organisationen gepatcht hatten. Suchen Sie nach dem Update nach Web Shells in per Web bereitgestellten Verzeichnissen, nach verdächtigen Traversal-Anfragen in Ihren Logs sowie nach unerwarteten Konten oder geplanten Aufgaben.
Sources
- NVD — CVE-2026-48282 Detail: offizieller Eintrag, CVSS-10.0-Vektor, CWE-22-Path-Traversal-Beschreibung, betroffene Versionen und Veröffentlichungsdatum 30. Juni 2026.
- CISA — Adds One Known Exploited Vulnerability to Catalog (July 7, 2026): KEV-Eintrag und Behebungsauflage für Bundesbehörden.
- The Hacker News — CISA adds 4 actively exploited Adobe, Joomla, and Langflow flaws to KEV: KEVIntel-Belege für die Ausnutzung und die drei weiteren KEV-Ergänzungen.
- The Stack — Max-severity Adobe ColdFusion bug being exploited, warns CISA: Adobes Advisory-Änderung auf „limited attacks", die Meldung des Canadian Centre vom 2. Juli und die Frist zum 10. Juli.
- SecurityWeek — Critical Adobe ColdFusion vulnerability exploited in attacks: unabhängige Berichterstattung über aktive Ausnutzung und Auswirkungen.
Waqas Ahmed Waseer
Waqas Ahmed Waseer ist Entwickler und Automation-Builder mit über 8 Jahren Erfahrung im Aufbau von Produktivsystemen, die von mehr als 100.000 Menschen genutzt werden. Er baut individuelle Multi-Tenant-SaaS, KI-Automatisierung (n8n, LLM-Workflows, WhatsApp-Bots) und Hosting-Infrastruktur (WHM/cPanel, CloudLinux) — und ist der Macher von WaSphere, FlowMaticX und der Hosting-Marke WaseerHost. Über 100 Projekte für KMU, Agenturen und finanzierte Start-ups umgesetzt.



