Adobe ColdFusion CVE-2026-48282 is een path-traversal-kwetsbaarheid met maximale ernst (CVSS 10.0) waarmee een niet-geauthenticeerde aanvaller via het netwerk bij bestanden op een ColdFusion-server kan komen en er code op kan uitvoeren. Adobe patchte het op 30 juni 2026; binnen enkele dagen misbruikten aanvallers het in het wild, en CISA voegde het op 7 juli toe aan zijn Known Exploited Vulnerabilities-catalogus met een patchtermijn van drie dagen voor federale instanties. Als je een op internet blootgestelde ColdFusion 2023- of 2025-server draait, is patchen hiervan een noodgeval, geen taak voor een onderhoudsvenster.
Wat is CVE-2026-48282?
CVE-2026-48282 is een Improper Limitation of a Pathname to a Restricted Directory — path traversal, CWE-22 — in Adobe ColdFusion. Een path-traversal-kwetsbaarheid stelt een aanvaller in staat om een geprepareerd pad op te geven (denk aan ../../) om te ontsnappen aan de directory waartoe een applicatie zich zou moeten beperken en bij bestanden elders op het systeem te komen. In het geval van ColdFusion vermeldt Adobe's eigen registratie dat de kwetsbaarheid "could lead to arbitrary code execution in the context of the current user" en geen gebruikersinteractie vereist. Het heeft een CVSS 3.1 base score van 10.0 met de vector AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H: te misbruiken via het netwerk, lage aanvalscomplexiteit, geen rechten, geen gebruikersinteractie, en een gewijzigde scope. Het treft ColdFusion 2025 (Update 9 en eerder) en ColdFusion 2023 (Update 20 en eerder), en is verholpen in ColdFusion 2025 Update 10 en ColdFusion 2023 Update 21.
Waarom een path-traversal-kwetsbaarheid een perfecte 10 scoort
De meeste path-traversal-kwetsbaarheden laten een aanvaller alleen bestanden lezen die hij niet zou mogen inzien, wat vervelend is maar zelden een 10. CVE-2026-48282 scoort maximale ernst vanwege de combinatie die de CVSS-vector uitspelt: het is bereikbaar voor iedereen op het netwerk (PR:N, UI:N), het is eenvoudig te activeren (AC:L), en de scope is gewijzigd (S:C) — wat betekent dat de impact een beveiligingsgrens overschrijdt in plaats van binnen de kwetsbare component te blijven. Het praktische gevolg is arbitrary code execution. Op een platform als ColdFusion wordt een traversal die het schrijven of plaatsen van een bestand toestaat doorgaans remote code execution op het moment dat een aanvaller een kwaadaardige CFML-template in een webtoegankelijke directory dropt en die opvraagt. Daarom belandt een "bestandspad"-kwetsbaarheid in dezelfde dreigingscategorie als een klassieke pre-auth-RCE zoals de recente Progress Kemp LoadMaster-kwetsbaarheid: geen login, één verzoek, code op je server.
Al onder vuur: de tijdlijn van het misbruik
Deze ging snel van patch naar aanvallen in de praktijk. Adobe leverde de fix op 30 juni en meldde aanvankelijk geen bekend misbruik, en werkte vervolgens zijn advisory bij om misbruik in "limited attacks" te erkennen. Het Canadian Centre for Cyber Security signaleerde op 2 juli aanvallers die CVE-2026-48282 gebruikten, twee dagen na de openbaarmaking, en KEVIntel-oprichter Ryan Dewhurst registreerde misbruikpogingen, waaronder één vanaf een IP-adres in India. CISA voegde het vervolgens op dinsdag 7 juli toe aan de KEV-catalogus, met de opdracht aan federale instanties om vóór 10 juli te patchen. Het kwam niet alleen: CISA vermeldde het die dag naast drie andere actief misbruikte kwetsbaarheden, waaronder nog twee perfecte tienen — een Joomla SP Page Builder unauthenticated file-upload-kwetsbaarheid (CVE-2026-56290) en een JoomShaper-kwetsbaarheid (CVE-2026-48908) — plus een Langflow authorization bypass (CVE-2026-55255). ColdFusion is al jaren een terugkerende naam op die KEV-lijst, dus behandel elke blootgestelde instantie als een permanent doelwit.
Ben ik getroffen, en wat is verholpen?
Als je ColdFusion 2023 of 2025 draait en de update van eind juni niet hebt toegepast, ga er dan van uit dat je kwetsbaar bent. De fix is een eenvoudige Adobe-update; het is de urgentie die ongebruikelijk is.
| ColdFusion-versie | Status | Actie |
|---|---|---|
| 2025, Update 9 of eerder | Kwetsbaar | Pas onmiddellijk Update 10 toe |
| 2025, Update 10 | Verholpen | Je bent gepatcht — verifieer de build |
| 2023, Update 20 of eerder | Kwetsbaar | Pas onmiddellijk Update 21 toe |
| 2023, Update 21 | Verholpen | Je bent gepatcht — verifieer de build |
| Oudere / end-of-life releases | Geen fix op komst | Upgrade naar een ondersteunde versie |
De update toepassen is slechts de helft van het werk op een op internet blootgestelde machine; omdat de aanvallen de meeste patchvensters voorgingen, moet je ervan uitgaan dat compromittering mogelijk is en er actief naar zoeken, niet alleen de deur sluiten.
Wat je nu moet doen
- Patch naar ColdFusion 2025 Update 10 of 2023 Update 21 op elke instantie, en bevestig daarna dat de draaiende build de update daadwerkelijk weerspiegelt.
- Haal ColdFusion van het open internet af. De beheerinterface en de server zelf horen achter een VPN, een allowlist of een reverse proxy te zitten — niet rechtstreeks bereikbaar te zijn. De algemene hardening-basislijn in onze gids voor het veilige eerste uur van een VPS is hier van toepassing: minimaliseer wat blootgesteld is voordat je je over iets anders zorgen maakt.
- Zoek naar compromittering. Omdat het misbruik de KEV-deadline vooruitliep, controleer je webtoegankelijke directory's op onverwachte
.cfm/.cfml-bestanden, bekijk je toegangslogs op traversal-patronen en verzoeken naar vreemde paden, en inspecteer je op nieuwe geplande taken of beheerdersaccounts. - Als je niet direct kunt patchen, plaats dan een WAF-regel of reverse-proxy-filter ervoor om traversal-sequenties te blokkeren en de toegang tot de ColdFusion-beheereindpunten te beperken als noodmaatregel — geen vervanging voor de update.
Gezien CISA federale instanties tot 10 juli de tijd gaf, zou een private ColdFusion-beheerder zijn reactie in uren en dagen moeten meten, niet in weken. Dit is hetzelfde draaiboek als bij elke andere patch-nu-advisory, zoals de zerodays in Patch Tuesday van juni 2026: update, beperk de blootstelling, en controleer of er al iemand binnen is geweest.
Veelgestelde vragen
Wordt CVE-2026-48282 actief misbruikt?
Ja. Adobe werkte zijn advisory bij om misbruik in limited attacks te erkennen, het Canadian Centre for Cyber Security signaleerde op 2 juli gebruik in het wild, en CISA voegde de kwetsbaarheid op 7 juli toe aan zijn Known Exploited Vulnerabilities-catalogus. Actief misbruik is de reden dat de federale patchtermijn slechts drie dagen bedroeg.
Naar welke ColdFusion-versies moet ik updaten?
ColdFusion 2025 is verholpen in Update 10 en ColdFusion 2023 is verholpen in Update 21. Alles op Update 9 (2025) of Update 20 (2023) en eerder is kwetsbaar. Oudere, end-of-life ColdFusion-releases krijgen geen fix en moeten worden geüpgraded.
Vereist het misbruiken hiervan een login?
Nee. De CVSS-vector toont PR:N en UI:N — geen rechten en geen gebruikersinteractie — en de kwetsbaarheid is via het netwerk te misbruiken, wat een groot deel is van waarom het een maximale 10.0 scoort. Elke via internet bereikbare, ongepatchte instantie loopt risico.
Ik heb laat gepatcht — kan ik al gecompromitteerd zijn?
Mogelijk wel. Aanvallen werden binnen enkele dagen na de openbaarmaking waargenomen, voordat veel organisaties patchten. Zoek na het updaten naar web shells in webtoegankelijke directory's, verdachte traversal-verzoeken in je logs, en onverwachte accounts of geplande taken.
Sources
- NVD — CVE-2026-48282 Detail: officiële registratie, CVSS 10.0-vector, CWE-22 path-traversal-beschrijving, getroffen versies, en publicatiedatum 30 juni 2026.
- CISA — Adds One Known Exploited Vulnerability to Catalog (July 7, 2026): KEV-vermelding en federale herstelverplichting.
- The Hacker News — CISA adds 4 actively exploited Adobe, Joomla, and Langflow flaws to KEV: KEVIntel-bewijs van misbruik en de andere drie KEV-toevoegingen.
- The Stack — Max-severity Adobe ColdFusion bug being exploited, warns CISA: Adobe's advisory-wijziging naar "limited attacks", de signalering van het Canadian Centre op 2 juli, en de deadline van 10 juli.
- SecurityWeek — Critical Adobe ColdFusion vulnerability exploited in attacks: onafhankelijke berichtgeving over actief misbruik en impact.
Waqas Ahmed Waseer
Waqas Ahmed Waseer is ontwikkelaar en automation-builder met meer dan 8 jaar ervaring in het bouwen van productiesystemen die door 100.000+ mensen worden gebruikt. Hij bouwt custom multi-tenant SaaS, AI-automatisering (n8n, LLM-workflows, WhatsApp-bots) en hostinginfrastructuur (WHM/cPanel, CloudLinux) — en is de maker van WaSphere, FlowMaticX en het hostingmerk WaseerHost. 100+ projecten opgeleverd voor mkb, bureaus en gefinancierde startups.



