• Beratung anfragen
  • Newsletter
  • Deutsch Deutsch Deutsch de
  • English English Englisch en
  • Italiano Italiano Italienisch it
  • Nederlands Nederlands Niederländisch nl
Greenbone
  • Produkte
    • OPENVAS BASIC
      • OPENVAS BASIC: Bestellung
    • OPENVAS SCAN
    • Upcoming Solutions
      • OPENVAS SECURITY INTELLIGENCE
      • OPENVAS AI
    • Lösungen für Ihre Branche
      • Bildungssektor
      • Gesundheitssektor
      • Öffentlicher Sektor
    • Technologie
      • Feedvergleich
      • Produktvergleich
        • OPENVAS vs. Nessus
      • Roadmap & Lifecycle
  • Service & Support
    • Technischer Support
    • Selflearning-Kurse
    • Dokumente
  • Events
    • Cybersec Europe 2026
    • Webinare
  • Partner
    • MSSP
  • Über Greenbone
    • Karriere
    • Kontakt
  • Blog
    • Know-how
      • Cyberangriffe und Verteidigung
      • Cyber Defense Security
      • Cyber Resilience Act
      • Datensicherheit
      • Digital Operational Resilience Act
      • IT- und Informationssicherheit
      • NIS2 Richtlinie
      • Open-Source-Vulnerability Management
      • Schwachstellenmanagement
      • Schwachstellen im Zeitverlauf
      • Zeitleiste Angriffsvektoren
  • Click to open the search input field Click to open the search input field Suche
  • Menü Menü
  • Produkte
    • OPENVAS BASIC
      • OPENVAS BASIC: Bestellung
    • OPENVAS SCAN
    • Upcoming Solutions
      • OPENVAS SECURITY INTELLIGENCE
      • OPENVAS AI
    • Lösungen für Ihre Branche
      • Bildungssektor
      • Gesundheitssektor
      • Öffentlicher Sektor
    • Technologie
      • Feedvergleich
      • Produktvergleich
        • OPENVAS vs. Nessus
      • Roadmap & Lifecycle
    • IT-Schutz anfragen
  • Service & Support
    • Technischer Support
    • Selflearning-Kurse
    • Dokumente
  • Events
    • Cybersec Europe 2026
    • Webinare
  • Partner
    • MSSP
  • Über Greenbone
    • Karriere
    • Kontakt
    • Newsletter
  • Blog
    • Know-how
      • Cyberangriffe und Verteidigung
      • Cyber Defense Security
      • Cyber Resilience Act
      • Datensicherheit
      • Digital Operational Resilience Act
      • IT- und Informationssicherheit
      • NIS2 Richtlinie
      • Open-Source-Vulnerability Management
      • Schwachstellenmanagement
      • Schwachstellen im Zeitverlauf
      • Zeitleiste Angriffsvektoren
  • Deutsch
  • Englisch
  • Italienisch
  • Niederländisch
Joseph Lee

CVE-2026-48282: CVSS-10-Sicherheitslücke in Adobe ColdFusion wird aktiv ausgenutzt

Blog

CVE-2026-48282 (CVSS 10) ist eine kritische Path-Traversal-Sicherheitslücke [CWE-22] in Adobe ColdFusion. Laut dem Sicherheitsbulletin von Adobe [APSB26-68] betrifft das Problem ColdFusion 2025 Update 9 und frühere Versionen sowie ColdFusion 2023 Update 20 und frühere Versionen. Die Ausnutzung erfolgt netzwerkbasiert, was das Risiko für exponierte ColdFusion-Instanzen erhöht, und erfordert keine Authentifizierung. Ein erfolgreicher Angriff ermöglicht die Ausführung von beliebigem Remote-Code (RCE) im Kontext des aktuellen Benutzers.

KEVIntel hat Honeypot-Angriffe erfasst, die auf CVE-2026-48282 abzielen, was darauf hindeutet, dass möglicherweise bereits aktive Ausnutzung stattfindet, und CISA hat die Schwachstelle in ihre Liste der bekannt aktiv ausgenutzten Schwachstellen (KEV) aufgenommen. Watchtowr Labs hat einen öffentlichen Proof-of-Concept (PoC)-Exploit mit einer vollständigen technischen Ursachenanalyse veröffentlicht. Für CVE-2026-48282 wurden mehrere nationale CERT-Warnungen herausgegeben, was weltweit auf große Besorgnis hindeutet [1][2][3][4][5][6][7][8].

CVE-2026-48282-adobe-coldfusion-ausgenutzt

Insgesamt wurden in Adobes APSB26-68-Sicherheitshinweis 11 CVEs veröffentlicht, von denen sechs die höchstmögliche CVSS-Schweregradbewertung erhielten. Der OPENVAS ENTERPRISE FEED enthält einen remote_banner-Prüfung für CVE-2026-48282 und alle anderen CVEs, die in Adobes APSB26-68-Sicherheitshinweis veröffentlicht wurden und Adobe ColdFusion betreffen. Holen Sie sich eine Kopie von OPENVAS SCAN mit einer kostenlosen zweiwöchigen Testversion des OPENVAS ENTERPRISE FEED – ein bewährter Weg, um einen umfassenden Einblick zu gewinnen, wo in der IT-Infrastruktur Ihres Unternehmens Software-Schwachstellen bestehen.

Eine Risikobewertung von CVE-2026-48282 in Adobe ColdFusion

CVSS 10 · KritischWird aktiv ausgenutztIn CISA KEVÖffentlicher PoC

Adobe hat CVE-2026-48282 die höchste CVSS-Schweregradbewertung zugewiesen. Das größte Sicherheitsrisiko besteht darin, dass eine Path-Traversal-Schwachstelle [CWE-22] in einem nach außen gerichteten Anwendungsserver es einem Angreifer ermöglichen könnte, die vorgesehenen Verzeichnisgrenzen zu überschreiten und auf sensible Ressourcen zuzugreifen. Adobe berichtet, dass CVE-2026-48282 zu beliebiger RCE im Kontext des aktuellen Benutzers führen kann. Da für die Ausnutzung weder Berechtigungen noch eine Benutzerinteraktion erforderlich sind, sind extern erreichbare Instanzen am stärksten gefährdet.

Adobe ColdFusion ist ein Unternehmensanwendungsserver, der zum Erstellen, Bereitstellen und Skalieren datengesteuerter Webanwendungen, APIs, Intranetportale, Verwaltungssysteme und cloudverbundener Geschäftsanwendungen verwendet wird. Die Meldung über diese Sicherheitslücke sollte auch ohne weitere technische Details als betrieblich bedeutsam eingestuft werden.

Abhilfe für CVE-2026-48282 in Adobe ColdFusion

CVE-2026-48282 wird durch ein Update auf ColdFusion 2025 Update 10 oder ColdFusion 2023 Update 21 behoben. Adobe bietet keine alternativen Workarounds oder kompensierende Kontrollmaßnahmen an. Bei extern erreichbaren Instanzen sollte die Behebung Priorität haben. Der OPENVAS ENTERPRISE FEED enthält einen remote_banner-Prüfung, um von CVE-2026-48282 betroffene Adobe ColdFusion-Instanzen zu identifizieren.

Starten Sie Ihre kostenlose Testversion

Der OPENVAS ENTERPRISE FEED enthält einen remote_banner-Prüfung für CVE-2026-48282 und alle anderen CVEs im APSB26-68-Hinweis von Adobe. Holen Sie sich eine Kopie von OPENVAS SCAN mit einer kostenlosen zweiwöchigen Testversion des OPENVAS ENTERPRISE FEED, um einen umfassenden Einblick zu erhalten, wo in der IT-Infrastruktur Ihres Unternehmens Software-Schwachstellen bestehen.

Weitere CVEs aus dem Adobe-Sicherheitshinweis APSB26-68

Das Adobe-Sicherheitsbulletin [APSB26-68] behandelte insgesamt 11 CVEs. Sechs davon wurden mit dem höchsten CVSS-Kritikalitätswert eingestuft. Es liegen keine Berichte über aktive Ausnutzung der unten beschriebenen CVEs vor, und es sind keine detaillierten technischen Analysen oder PoCs verfügbar. Alle CVEs im Sicherheitsbulletin betreffen denselben Produktumfang. Daher deckt die oben beschriebene Abhilfemaßnahme alle Schwachstellen ab.

Die zehn zusätzlichen CVEs, die in Adobe APSB26-68 veröffentlicht wurden, jeweils mit ihrem CVSS-Schweregrad und CWE-Typ

CVE-2026-48276 CVSS 10 · Kritisch CWE-434

Eine Sicherheitslücke beim uneingeschränkten Hochladen von Dateien mit gefährlichem Typ ermöglicht beliebige Remote-Code-Ausführung (RCE) im Kontext des aktuellen Benutzers.

CVE-2026-48277 CVSS 10 · Kritisch CWE-20

Eine Schwachstelle durch unsachgemäße Eingabevalidierung ermöglicht beliebige Remote-Code-Ausführung (RCE) im Kontext des aktuellen Benutzers.

CVE-2026-48281 CVSS 10 · Kritisch CWE-20

Eine Schwachstelle bei der Eingabevalidierung ermöglicht beliebige RCE im Kontext des aktuellen Benutzers.

CVE-2026-48316 CVSS 10 · Kritisch CWE-20

Eine Schwachstelle durch unsachgemäße Eingabevalidierung ermöglicht beliebige Remote-Code-Ausführung (RCE) im Kontext des aktuellen Benutzers.

CVE-2026-48283 CVSS 10 · Kritisch CWE-434

Eine Schwachstelle beim uneingeschränkten Hochladen von Dateien mit gefährlichem Typ ermöglicht beliebige Remote-Code-Ausführung (RCE) im Kontext des aktuellen Benutzers.

CVE-2026-48313 CVSS 9.3 · Kritisch CWE-22

Eine Path-Traversal-Sicherheitslücke ermöglicht beliebigen Lesezugriff auf das Dateisystem sowie eingeschränkten Schreibzugriff. Ein Angreifer könnte auf sensible Dateien und Verzeichnisse außerhalb des vorgesehenen Zugriffsbereichs zugreifen.

CVE-2026-48315 CVSS 9.3 · Kritisch CWE-20

Eine Schwachstelle durch unsachgemäße Eingabevalidierung ermöglicht beliebige Remote-Code-Ausführung (RCE) im Kontext des aktuellen Benutzers. Ein Angreifer kann bösartige Skripte in eine Webseite einschleusen und so möglicherweise erweiterte Zugriffsrechte oder die Kontrolle über das Konto oder die Sitzung des Opfers erlangen. Für die Ausnutzung muss das Ziel eine schädliche Datei öffnen.

CVE-2026-48307 CVSS 8.8 · Hoch CWE-79

Eine reflektierte Cross-Site-Scripting-Schwachstelle (XSS) ermöglicht es einem Angreifer, bösartige Skripte in eine Webseite einzuschleusen, was möglicherweise zur Ausführung von beliebigem Code auf dem System der Opfer führt, die einen bösartigen Link öffnen.

CVE-2026-48285 CVSS 8.6 · Hoch CWE-918

Eine SSRF-Sicherheitslücke (Server-Side Request Forgery) ermöglicht es einem Angreifer, Sicherheitsmaßnahmen zu umgehen und sich unbefugten Lesezugriff zu verschaffen.

CVE-2026-48314 CVSS 6.5 · Mittel CWE-22

Eine Path-Traversal-Sicherheitslücke ermöglicht es einem Angreifer, eingeschränkten Lese- und Schreibzugriff auf nicht autorisierte Dateien oder Verzeichnisse außerhalb der vorgesehenen Beschränkungen zu erlangen.

Zusammenfassung

Das Sicherheitsbulletin von Adobe [APSB26-68] behandelte insgesamt 11 CVEs. Sechs davon erhielten die höchste CVSS-Kritikalitätsbewertung. Es wurden Ausnutzungen in freier Wildbahn für CVE-2026-48282 gemeldet, die potenziell beliebige RCE im aktuellen Benutzerkontext ermöglichen. Betroffen sind ColdFusion 2025 Update 9 und frühere Versionen sowie ColdFusion 2023 Update 20 und frühere Versionen. Adobe behebt diese Probleme mit den Versionen ColdFusion 2025 Update 10 und ColdFusion 2023 Update 21.

Der OPENVAS ENTERPRISE FEED enthält einen remote_banner-Prüfung für CVE-2026-48282 und alle anderen CVEs, die in Adobes APSB26-68-Sicherheitshinweis veröffentlicht wurden und Adobe ColdFusion betreffen. Holen Sie sich eine Kopie von OPENVAS SCAN mit einer kostenlosen zweiwöchigen Testversion des OPENVAS ENTERPRISE FEED – ein todsicherer Weg, um einen umfassenden Einblick zu erhalten, wo in der IT-Infrastruktur Ihres Unternehmens Software-Schwachstellen bestehen.

 

Kontakt Jetzt testen Hier kaufen Zurück zur Übersicht
Joseph Lee
Joseph Lee

Josephs Karriere im Bereich IT und Cybersicherheit ist von Vielfalt und Leidenschaft geprägt. Sie begann in den späten 1980er Jahren mit der Arbeit an einem IBM PS/2, der Montage von PCs und der Programmierung in C++.

Er studierte Computer- und Systemtechnik, Anthropologie und erwarb einen MBA mit Schwerpunkt Technologieprognose.

Josephs Fachgebiete umfassen Datenanalyse, Softwareentwicklung und insbesondere IT-Sicherheit in Unternehmen. Er ist Experte für Schwachstellenmanagement, Verschlüsselung und Penetrationstests.

LinkedIn

13. Juli 2026/von Joseph Lee
Eintrag teilen
  • Teilen auf LinkedIn
  • Per E-Mail teilen
https://www.greenbone.net/wp-content/uploads/greenbone-logo-2025.png 0 0 Joseph Lee https://www.greenbone.net/wp-content/uploads/greenbone-logo-2025.png Joseph Lee2026-07-13 14:55:042026-07-13 16:15:01CVE-2026-48282: CVSS-10-Sicherheitslücke in Adobe ColdFusion wird aktiv ausgenutzt

Suche

Search Search

Archiv

  • 2026
  • 2025

Newsletter

Jetzt abonnieren

OPENVAS BASIC

Unser Einstiegsprodukt

14 Tage kostenlos testen

Produkte & Lösungen

  • OPENVAS PRODUKTE
  • OPENVAS SECURITY INTELLIGENCE
  • OPENVAS SCAN
  • OPENVAS BASIC
  • OPENVAS FREE
  • OPENVAS AI
ISO9001-DE

Service & Support

  • Technischer Support
  • FAQ
  • Dokumente
  • Gewährleistung
  • Open-Source-Vulnerability Management
  • Cyber Resilience Act
ISO27001-DE

Über uns

  • Über Greenbone
  • Partner
  • MSSP
  • Lizenzinformation
  • Datenschutzerklärung
  • AGB
ISO14001-DE

Kontakt mit uns

  • Kontakt
  • Pressekontakt
  • Karriere
  • Security Response
  • Impressum
  • Grounding Page

Community

  • Community Portal
  • Community Forum
© Copyright - Greenbone AG 2020-2026
  • Link zu LinkedIn
Link to: Threat Report Juni 2026: Technische Schulden erfordern Transparenz Link to: Threat Report Juni 2026: Technische Schulden erfordern Transparenz Threat Report Juni 2026: Technische Schulden erfordern Transparenz
Nach oben scrollen Nach oben scrollen Nach oben scrollen
Kontakt
IT Schutz anfragen Kontakt aufnehmen Newsletter abonnieren Auf LinkedIn folgen