Äusserst kritische Sicherheitslücke in Coldfusion

8. Juli 2026 um 14:09
  • security
  • adobe
  • CISA
  • sicherheitslücke
  • cybersecurity
image
Illustration: Getty Images / Unsplash+

Adobe und Sicherheitsbehörden fordern Administratoren der Webentwicklungsplattform dringend zum Installieren der bereits veröffentlichten Patches auf.

In der Webentwicklungsplattform Coldfusion von Adobe wurde eine Sicherheitslücke mit einem CVSS-Score von 10 entdeckt. Betroffen sind die Versionen 2025.9, 2023.20 und älter. Bei CVE-2026-48282 handelt es sich laut Beschreibung um eine Path-Traversal-Lücke. Diese könne von Angreifern ohne Authentifizierung und grossem Aufwand für das Ausführen von beliebigem Code und das Lesen von Dateien ausgenutzt werden. Um die Lücke zu schliessen habe Adobe bereits Patches veröffentlicht, die dringend installiert werden sollten.
Auch die US-Bundesbehörde für Cybersicherheit (CISA) hat davon Wind bekommen. "Diese Art von Schwachstelle stellt eine häufige Angriffsfläche für böswillige Cyberakteure dar und birgt erhebliche Risiken für das Bundesunternehmen", schreibt CISA. Da sie angeblich bereits ausgenutzt wurde, listet CISA die Coldfusion-Schwachstelle in seinem "Known Exploited Vulnerabilities"-Katalog und fordert die Bundesbehörden auf, das System bis Ende Woche upzudaten. Diesem Beispiel folgt auch die Kanadische Cybersicherheitsbehörde.
Internet-Sicherheitsüberwachungsgruppe Shadowserver erfasst derzeit fast 900 online exponierte Coldfusion-Instanzen, davon sollen 244 in Europa liegen. Es gibt jedoch keine Informationen darüber, wie viele davon Honeypots sind oder gegen Angriffe auf die Sicherheitslücke CVE-2026-48282 abgesichert wurden, wie 'Bleepingcomputer' berichtet.

image
Online exponierte Coldfusion-Instanzen. Grafik: Shadowserver


Loading

Mehr zum Thema

image

71% der Schweizer Firmen berichten Cybervorfälle

Swiss Post Cybersecurity muss eingestehen, dass auch das Post-Tochterunternehmen keinen absoluten Schutz vor Cyberangriffen bieten kann.

publiziert am 8.7.2026
image

Cyberangriff auf Psychiatrische Dienste Aargau

Ein Cyberangriff auf einzelne E-Mail-Konten der Psychiatrischen Dienste Aargau führte zur missbräuchlichen Nutzung der Absenderadresse. Nach aktuellem Kenntnisstand wurden keine Patientendaten kompromittiert.

publiziert am 8.7.2026
image

Adnovum startet Förderprogramm für Cybersecurity-Startups

Der Schweizer IT-Dienstleister lanciert das neue Programm gemeinsam mit Trust Valley. Erster Teilnehmer ist die Cybersecurity-Firma Hafnova.

publiziert am 7.7.2026
image

KI erfindet Angriffsvektor für Ransomware

Die Forschenden von Check Point Research haben in einer Malware-Sammlung der KI Deepseek eine neuartige Bedrohung entdeckt, die Fotos mit einem Mausklick verschlüsselt.

publiziert am 6.7.2026