Adobe ColdFusion CVE-2026-48276: RCE

Adobe ColdFusion CVE-2026-48276: RCE

Adobe hat mit dem Security Bulletin APSB26-68 elf kritische Schwachstellen in ColdFusion geschlossen. Sechs davon tragen den maximalen CVSS-Score von 10.0 und ermöglichen unauthentifizierten Angreifern die Ausführung beliebigen Codes auf betroffenen Servern.

Was ist CVE-2026-48276?

CVE-2026-48276 ist eine Unrestricted Upload of File with Dangerous Type-Schwachstelle (CWE-434). Sie erlaubt es Angreifern, bösartige Dateien (z. B. Webshells im .cfm- oder .jsp-Format) auf den ColdFusion-Server hochzuladen und auszuführen.

Die Lücke entsteht durch unzureichende Validierung von Dateitypen während des Upload-Prozesses. Ein Angreifer kann so eine ausführbare Datei in ein webzugängliches Verzeichnis hochladen und durch Aufruf der Datei beliebige Befehle auf dem Server ausführen.

Betroffene Versionen

  • Adobe ColdFusion 2023: Alle Versionen vor Update 21
  • Adobe ColdFusion 2025: Alle Versionen vor Update 10
  • Vermutlich auch ältere, nicht mehr unterstützte Versionen

Angriffsvektor

Der Angriff verläuft typischerweise in drei Schritten:

  1. Upload: Der Angreifer identifiziert einen File-Upload-Endpoint und umgeht die Dateityp-Validierung (z. B. durch Double Extensions wie shell.jpg.cfm, Null-Byte-Injection oder Content-Manipulation).
  2. Ausführung: Die hochgeladene Datei wird in einem webzugänglichen Verzeichnis gespeichert. Durch Aufruf der URL wird die Datei vom ColdFusion-Server interpretiert und ausgeführt.
  3. Persistence: Der Angreifer installiert Backdoors, legt neue Benutzerkonten an oder nutzt den Server als Pivot für weitere Angriffe im internen Netzwerk.

Die Ausnutzbarkeit erfordert lediglich Netzwerkzugriff auf den verwundbaren ColdFusion-Server – keine Authentifizierung.

Gegenmaßnahmen

1. Patchen (Priorität: Notfall – innerhalb 72 Stunden)

  • ColdFusion 2023: Auf Update 21 oder höher aktualisieren
  • ColdFusion 2025: Auf Update 10 oder höher aktualisieren
  • Systeme vor dem Update sichern

2. Workarounds (wenn Patching verzögert)

  • Upload-Verzeichnisse isolieren: Alle Uploads in einem dedizierten, nicht ausführbaren Verzeichnis außerhalb des Web-Root speichern
  • Strict File Validation: Whitelisting erlaubter Dateitypen, Validierung von File-Headern und Magic Bytes, nie auf Client-seitige Validierung verlassen
  • Least Privilege: ColdFusion-Service mit minimalen OS-Rechten betreiben
  • Netzwerk-Segmentierung: ColdFusion-Server nicht direkt internetzugänglich machen, Reverse Proxy und WAF einsetzen

3. Detektion
Folgende Indikatoren in Logs und auf dem Server prüfen:

  • Ungewöhnliche HTTP-POST-Requests an Upload-Verzeichnisse (insbesondere .cfm, .jsp, .aspx, .php, .war, .exe)
  • Neue Prozess-Erstellungen vom ColdFusion-Hauptprozess (java.exe/coldfusion.exe) mit System-Utilities (cmd.exe, powershell.exe, bash)
  • Erstellung/Änderung von Dateien in webzugänglichen Verzeichnissen mit verdächtigen Namen oder Berechtigungen
  • Webshell-Signaturen in Uploaded Files
  • Änderungen an ColdFusion-Konfigurationsdateien oder Web-Root-Verzeichnissen

Fazit

CVE-2026-48276 ist eine der kritischsten Schwachstellen im Juli 2026. Mit einem CVSS-Score von 10.0 und direktem Pfad zur vollständigen Server-Kompromittierung sollte das Update sofort eingespielt werden. Adobe meldet Stand Juli 2026 keine aktive Ausnutzung in the wild – das bietet ein kritisches Zeitfenster zum Patchen, bevor Exploits öffentlich verfügbar werden.

Quellen

Quelle: Adobe Security Bulletin APSB26-68, NVD, CISA – Stand 08.07.2026

Kommentar abschicken