Kritiske ColdFusion‑sårbarheder åbner for fuld serverovertagelse
Adobe har 30. juni 2026 udsendt en sikkerhedsopdatering, der retter 11 sårbarheder i ColdFusion. Seks af dem har maksimal CVSS‑score på 10.0 og muliggør vilkårlig kodeeksekvering. Opdateringen er klassificeret som prioritet 1 – Adobes højeste hasteniveau.
Der er endnu ikke rapporteret om aktiv udnyttelse. Erfaringen med ColdFusion peger dog på, at interessen hurtigt følger.
Det skriver Security Online.
Flere angrebsveje – samme resultat
Sårbarhederne dækker klassiske fejltyper med forskellige indgange til kompromittering – men samme udfald: kontrol over serveren.
To af de mest kritiske fejl (CVE-2026-48276 og CVE-2026-48283) skyldes ubegrænset filupload, som gør det muligt at placere og eksekvere ondsindede filer direkte på serveren.
En anden gruppe udspringer af utilstrækkelig inputvalidering (bl.a. CVE-2026-48277, CVE-2026-48281 og CVE-2026-48316), hvor manipuleret input kan føre til kode- eller kommandoeksekvering.
Derudover indgår en path traversal‑sårbarhed (CVE-2026-48282), som giver adgang uden for de tilsigtede kataloger.
Flere af fejlene kan udnyttes uden autentifikation og med begrænsede tekniske forudsætninger, hvilket gør dem velegnede til automatiserede angreb.
Ikke kun RCE
Opdateringen omfatter også andre kritiske sårbarheder:
- CVE-2026-48313 (CVSS 9.3): Vilkårlig læsning af filsystemet
- CVE-2026-48315: Privilegieeskalering
- CVE-2026-48285: SSRF med omgåelse af sikkerhedsfunktioner
- CVE-2026-48307: Reflekteret XSS med mulighed for kædet kodeeksekvering
Kombinationen giver flere alternative angrebsveje, hvis én er blokeret.
De berørte versioner er:
- ColdFusion 2025 Update 9 og tidligere
- ColdFusion 2023 Update 20 og tidligere
Ældre versioner bør opgraderes til understøttede releases.
Eksponering øger risikoen
Security Online skriver, at ColdFusion‑servere er ofte interneteksponerede. Sammen med fejl, der kan udnyttes uden login, reducerer det barrieren for angreb markant.
Historisk er sårbarheder i platformen blevet udnyttet kort efter offentliggørelse, hvilket øger presset på et meget kort patch‑vindue.
Patch og anbefalinger
Fejlene er rettet i:
- ColdFusion 2025 Update 10
- ColdFusion 2023 Update 21
Adobe anbefaler hurtig patching samt:
- Begrænsning af servicekontoens rettigheder
- Implementering af lockdown‑vejledninger
- Gennemgang af eksponering