Cybersecurity

Adobe ColdFusion CVE-2026-48282: een kwetsbaarheid met maximale ernst (CVSS 10) die al wordt aangevallen — patch nu

CVE-2026-48282 is een path-traversal-kwetsbaarheid met CVSS 10.0 in Adobe ColdFusion waarmee een niet-geauthenticeerde aanvaller op afstand code kan uitvoeren via het netwerk. Adobe patchte het op 30 juni 2026; het wordt al misbruikt en staat op de KEV-lijst van CISA. Dit is wat het inhoudt en hoe je moet reageren.

Waqas Ahmed Waseer
Waqas Ahmed Waseer 15 jul 2026 6 min leestijd
Adobe ColdFusion CVE-2026-48282: een kwetsbaarheid met maximale ernst (CVSS 10) die al wordt aangevallen — patch nu

Adobe ColdFusion CVE-2026-48282 is een path-traversal-kwetsbaarheid met maximale ernst (CVSS 10.0) waarmee een niet-geauthenticeerde aanvaller via het netwerk bij bestanden op een ColdFusion-server kan komen en er code op kan uitvoeren. Adobe patchte het op 30 juni 2026; binnen enkele dagen misbruikten aanvallers het in het wild, en CISA voegde het op 7 juli toe aan zijn Known Exploited Vulnerabilities-catalogus met een patchtermijn van drie dagen voor federale instanties. Als je een op internet blootgestelde ColdFusion 2023- of 2025-server draait, is patchen hiervan een noodgeval, geen taak voor een onderhoudsvenster.

Wat is CVE-2026-48282?

CVE-2026-48282 is een Improper Limitation of a Pathname to a Restricted Directory — path traversal, CWE-22 — in Adobe ColdFusion. Een path-traversal-kwetsbaarheid stelt een aanvaller in staat om een geprepareerd pad op te geven (denk aan ../../) om te ontsnappen aan de directory waartoe een applicatie zich zou moeten beperken en bij bestanden elders op het systeem te komen. In het geval van ColdFusion vermeldt Adobe's eigen registratie dat de kwetsbaarheid "could lead to arbitrary code execution in the context of the current user" en geen gebruikersinteractie vereist. Het heeft een CVSS 3.1 base score van 10.0 met de vector AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H: te misbruiken via het netwerk, lage aanvalscomplexiteit, geen rechten, geen gebruikersinteractie, en een gewijzigde scope. Het treft ColdFusion 2025 (Update 9 en eerder) en ColdFusion 2023 (Update 20 en eerder), en is verholpen in ColdFusion 2025 Update 10 en ColdFusion 2023 Update 21.

Waarom een path-traversal-kwetsbaarheid een perfecte 10 scoort

De meeste path-traversal-kwetsbaarheden laten een aanvaller alleen bestanden lezen die hij niet zou mogen inzien, wat vervelend is maar zelden een 10. CVE-2026-48282 scoort maximale ernst vanwege de combinatie die de CVSS-vector uitspelt: het is bereikbaar voor iedereen op het netwerk (PR:N, UI:N), het is eenvoudig te activeren (AC:L), en de scope is gewijzigd (S:C) — wat betekent dat de impact een beveiligingsgrens overschrijdt in plaats van binnen de kwetsbare component te blijven. Het praktische gevolg is arbitrary code execution. Op een platform als ColdFusion wordt een traversal die het schrijven of plaatsen van een bestand toestaat doorgaans remote code execution op het moment dat een aanvaller een kwaadaardige CFML-template in een webtoegankelijke directory dropt en die opvraagt. Daarom belandt een "bestandspad"-kwetsbaarheid in dezelfde dreigingscategorie als een klassieke pre-auth-RCE zoals de recente Progress Kemp LoadMaster-kwetsbaarheid: geen login, één verzoek, code op je server.

Al onder vuur: de tijdlijn van het misbruik

Deze ging snel van patch naar aanvallen in de praktijk. Adobe leverde de fix op 30 juni en meldde aanvankelijk geen bekend misbruik, en werkte vervolgens zijn advisory bij om misbruik in "limited attacks" te erkennen. Het Canadian Centre for Cyber Security signaleerde op 2 juli aanvallers die CVE-2026-48282 gebruikten, twee dagen na de openbaarmaking, en KEVIntel-oprichter Ryan Dewhurst registreerde misbruikpogingen, waaronder één vanaf een IP-adres in India. CISA voegde het vervolgens op dinsdag 7 juli toe aan de KEV-catalogus, met de opdracht aan federale instanties om vóór 10 juli te patchen. Het kwam niet alleen: CISA vermeldde het die dag naast drie andere actief misbruikte kwetsbaarheden, waaronder nog twee perfecte tienen — een Joomla SP Page Builder unauthenticated file-upload-kwetsbaarheid (CVE-2026-56290) en een JoomShaper-kwetsbaarheid (CVE-2026-48908) — plus een Langflow authorization bypass (CVE-2026-55255). ColdFusion is al jaren een terugkerende naam op die KEV-lijst, dus behandel elke blootgestelde instantie als een permanent doelwit.

Ben ik getroffen, en wat is verholpen?

Als je ColdFusion 2023 of 2025 draait en de update van eind juni niet hebt toegepast, ga er dan van uit dat je kwetsbaar bent. De fix is een eenvoudige Adobe-update; het is de urgentie die ongebruikelijk is.

ColdFusion-versieStatusActie
2025, Update 9 of eerderKwetsbaarPas onmiddellijk Update 10 toe
2025, Update 10VerholpenJe bent gepatcht — verifieer de build
2023, Update 20 of eerderKwetsbaarPas onmiddellijk Update 21 toe
2023, Update 21VerholpenJe bent gepatcht — verifieer de build
Oudere / end-of-life releasesGeen fix op komstUpgrade naar een ondersteunde versie

De update toepassen is slechts de helft van het werk op een op internet blootgestelde machine; omdat de aanvallen de meeste patchvensters voorgingen, moet je ervan uitgaan dat compromittering mogelijk is en er actief naar zoeken, niet alleen de deur sluiten.

Wat je nu moet doen

  1. Patch naar ColdFusion 2025 Update 10 of 2023 Update 21 op elke instantie, en bevestig daarna dat de draaiende build de update daadwerkelijk weerspiegelt.
  2. Haal ColdFusion van het open internet af. De beheerinterface en de server zelf horen achter een VPN, een allowlist of een reverse proxy te zitten — niet rechtstreeks bereikbaar te zijn. De algemene hardening-basislijn in onze gids voor het veilige eerste uur van een VPS is hier van toepassing: minimaliseer wat blootgesteld is voordat je je over iets anders zorgen maakt.
  3. Zoek naar compromittering. Omdat het misbruik de KEV-deadline vooruitliep, controleer je webtoegankelijke directory's op onverwachte .cfm/.cfml-bestanden, bekijk je toegangslogs op traversal-patronen en verzoeken naar vreemde paden, en inspecteer je op nieuwe geplande taken of beheerdersaccounts.
  4. Als je niet direct kunt patchen, plaats dan een WAF-regel of reverse-proxy-filter ervoor om traversal-sequenties te blokkeren en de toegang tot de ColdFusion-beheereindpunten te beperken als noodmaatregel — geen vervanging voor de update.

Gezien CISA federale instanties tot 10 juli de tijd gaf, zou een private ColdFusion-beheerder zijn reactie in uren en dagen moeten meten, niet in weken. Dit is hetzelfde draaiboek als bij elke andere patch-nu-advisory, zoals de zerodays in Patch Tuesday van juni 2026: update, beperk de blootstelling, en controleer of er al iemand binnen is geweest.

Veelgestelde vragen

Wordt CVE-2026-48282 actief misbruikt?

Ja. Adobe werkte zijn advisory bij om misbruik in limited attacks te erkennen, het Canadian Centre for Cyber Security signaleerde op 2 juli gebruik in het wild, en CISA voegde de kwetsbaarheid op 7 juli toe aan zijn Known Exploited Vulnerabilities-catalogus. Actief misbruik is de reden dat de federale patchtermijn slechts drie dagen bedroeg.

Naar welke ColdFusion-versies moet ik updaten?

ColdFusion 2025 is verholpen in Update 10 en ColdFusion 2023 is verholpen in Update 21. Alles op Update 9 (2025) of Update 20 (2023) en eerder is kwetsbaar. Oudere, end-of-life ColdFusion-releases krijgen geen fix en moeten worden geüpgraded.

Vereist het misbruiken hiervan een login?

Nee. De CVSS-vector toont PR:N en UI:N — geen rechten en geen gebruikersinteractie — en de kwetsbaarheid is via het netwerk te misbruiken, wat een groot deel is van waarom het een maximale 10.0 scoort. Elke via internet bereikbare, ongepatchte instantie loopt risico.

Ik heb laat gepatcht — kan ik al gecompromitteerd zijn?

Mogelijk wel. Aanvallen werden binnen enkele dagen na de openbaarmaking waargenomen, voordat veel organisaties patchten. Zoek na het updaten naar web shells in webtoegankelijke directory's, verdachte traversal-verzoeken in je logs, en onverwachte accounts of geplande taken.

Sources

Waqas Ahmed Waseer

Waqas Ahmed Waseer

Waqas Ahmed Waseer is ontwikkelaar en automation-builder met meer dan 8 jaar ervaring in het bouwen van productiesystemen die door 100.000+ mensen worden gebruikt. Hij bouwt custom multi-tenant SaaS, AI-automatisering (n8n, LLM-workflows, WhatsApp-bots) en hostinginfrastructuur (WHM/cPanel, CloudLinux) — en is de maker van WaSphere, FlowMaticX en het hostingmerk WaseerHost. 100+ projecten opgeleverd voor mkb, bureaus en gefinancierde startups.

Gerelateerd

Meer in Cybersecurity

Bekijk alles

Discussie · 0

Wees vriendelijk. Reacties zijn openbaar.

    Nieuwsbrief · Maandageditie

    De maandagbriefing.

    Eén e-mail elke maandagochtend. De week vooruit in AI, startups, hosting en devtools — geen onzin, geen gesponsorde lokkertjes.

    Gratis. Met één klik uitschrijven.