Adobe ColdFusion CVE-2026-48276: RCE
Adobe hat mit dem Security Bulletin APSB26-68 elf kritische Schwachstellen in ColdFusion geschlossen. Sechs davon tragen den maximalen CVSS-Score von 10.0 und ermöglichen unauthentifizierten Angreifern die Ausführung beliebigen Codes auf betroffenen Servern.
Was ist CVE-2026-48276?
CVE-2026-48276 ist eine Unrestricted Upload of File with Dangerous Type-Schwachstelle (CWE-434). Sie erlaubt es Angreifern, bösartige Dateien (z. B. Webshells im .cfm- oder .jsp-Format) auf den ColdFusion-Server hochzuladen und auszuführen.
Die Lücke entsteht durch unzureichende Validierung von Dateitypen während des Upload-Prozesses. Ein Angreifer kann so eine ausführbare Datei in ein webzugängliches Verzeichnis hochladen und durch Aufruf der Datei beliebige Befehle auf dem Server ausführen.
Betroffene Versionen
- Adobe ColdFusion 2023: Alle Versionen vor Update 21
- Adobe ColdFusion 2025: Alle Versionen vor Update 10
- Vermutlich auch ältere, nicht mehr unterstützte Versionen
Angriffsvektor
Der Angriff verläuft typischerweise in drei Schritten:
- Upload: Der Angreifer identifiziert einen File-Upload-Endpoint und umgeht die Dateityp-Validierung (z. B. durch Double Extensions wie
shell.jpg.cfm, Null-Byte-Injection oder Content-Manipulation). - Ausführung: Die hochgeladene Datei wird in einem webzugänglichen Verzeichnis gespeichert. Durch Aufruf der URL wird die Datei vom ColdFusion-Server interpretiert und ausgeführt.
- Persistence: Der Angreifer installiert Backdoors, legt neue Benutzerkonten an oder nutzt den Server als Pivot für weitere Angriffe im internen Netzwerk.
Die Ausnutzbarkeit erfordert lediglich Netzwerkzugriff auf den verwundbaren ColdFusion-Server – keine Authentifizierung.
Gegenmaßnahmen
1. Patchen (Priorität: Notfall – innerhalb 72 Stunden)
- ColdFusion 2023: Auf Update 21 oder höher aktualisieren
- ColdFusion 2025: Auf Update 10 oder höher aktualisieren
- Systeme vor dem Update sichern
2. Workarounds (wenn Patching verzögert)
- Upload-Verzeichnisse isolieren: Alle Uploads in einem dedizierten, nicht ausführbaren Verzeichnis außerhalb des Web-Root speichern
- Strict File Validation: Whitelisting erlaubter Dateitypen, Validierung von File-Headern und Magic Bytes, nie auf Client-seitige Validierung verlassen
- Least Privilege: ColdFusion-Service mit minimalen OS-Rechten betreiben
- Netzwerk-Segmentierung: ColdFusion-Server nicht direkt internetzugänglich machen, Reverse Proxy und WAF einsetzen
3. Detektion
Folgende Indikatoren in Logs und auf dem Server prüfen:
- Ungewöhnliche HTTP-POST-Requests an Upload-Verzeichnisse (insbesondere .cfm, .jsp, .aspx, .php, .war, .exe)
- Neue Prozess-Erstellungen vom ColdFusion-Hauptprozess (java.exe/coldfusion.exe) mit System-Utilities (cmd.exe, powershell.exe, bash)
- Erstellung/Änderung von Dateien in webzugänglichen Verzeichnissen mit verdächtigen Namen oder Berechtigungen
- Webshell-Signaturen in Uploaded Files
- Änderungen an ColdFusion-Konfigurationsdateien oder Web-Root-Verzeichnissen
Fazit
CVE-2026-48276 ist eine der kritischsten Schwachstellen im Juli 2026. Mit einem CVSS-Score von 10.0 und direktem Pfad zur vollständigen Server-Kompromittierung sollte das Update sofort eingespielt werden. Adobe meldet Stand Juli 2026 keine aktive Ausnutzung in the wild – das bietet ein kritisches Zeitfenster zum Patchen, bevor Exploits öffentlich verfügbar werden.
Quellen
- Adobe Security Bulletin APSB26-68
- NVD – CVE-2026-48276 Detail
- PurpleOps – CVE-2026-48276 Technical Analysis
- CCB Belgium – Adobe ColdFusion Warning
- Ionix – CVE-2026-48276 Threat Center
- CWE-434: Unrestricted Upload of File with Dangerous Type
- CISA KEV Catalog (ColdFusion-Historie)
Quelle: Adobe Security Bulletin APSB26-68, NVD, CISA – Stand 08.07.2026
Kommentar abschicken