Gen. partnerAlgotech

Kritická chyba v Adobe ColdFusion je aktivně zneužívána. Útočníci mohou převzít kontrolu nad serverem

Kritická zranitelnost CVE-2026-48282 v Adobe ColdFusion byla zařazena do katalogu aktivně zneužívaných zranitelností CISA KEV. Chyba s hodnocením CVSS 10.0 umožňuje neautentizované vzdálené spuštění kódu a představuje vážné riziko zejména pro organizace provozující starší podnikové webové aplikace.

Stanislav Novotný|
9. července 2026
Kritická chyba v Adobe ColdFusion je aktivně zneužívána. Útočníci mohou převzít kontrolu nad serverem

Americká agentura CISA zařadila kritickou zranitelnost CVE-2026-48282 v Adobe ColdFusion do katalogu Known Exploited Vulnerabilities (KEV). Chyba s maximálním hodnocením CVSS 10.0 umožňuje neautentizovanému útočníkovi vzdáleně spustit vlastní kód na zranitelném serveru. Adobe vydalo bezpečnostní aktualizace již 30. června 2026, přesto jsou nyní potvrzeny případy aktivního zneužívání.

Chyba umožňuje převzít kontrolu nad serverem

Zranitelnost typu path traversal se nachází v komponentě Remote Development Services (RDS), konkrétně ve FILEIO handleru. Nedostatečná validace cest umožňuje útočníkovi přistupovat k souborům mimo očekávané adresáře, což může vést až ke vzdálenému spuštění kódu (Remote Code Execution, RCE).

Útok navíc nevyžaduje žádnou autentizaci ani interakci uživatele. Pokud je zranitelný ColdFusion server dostupný z internetu, může být kompromitován pouhým zasláním speciálně vytvořeného požadavku.

Útočník následně může:

  • získat plnou kontrolu nad serverem,
  • nahrát webshell nebo jiný malware,
  • přistupovat k databázím,
  • odcizit citlivá data,
  • využít server jako výchozí bod pro laterální pohyb v interní síti.

Oprava existuje, útoky už probíhají

Adobe vydalo bezpečnostní aktualizace 30. června 2026, které zranitelnost opravují. Již během několika následujících dnů však bezpečnostní společnosti zaznamenaly první pokusy o její zneužití a 7. července byla chyba zařazena do katalogu CISA KEV, který obsahuje pouze zranitelnosti aktivně zneužívané při reálných útocích.

To potvrzuje trend posledních let – doba mezi zveřejněním bezpečnostní opravy a vznikem funkčních exploitů se stále zkracuje.

Které verze jsou zranitelné

Zranitelnost se týká:

  • Adobe ColdFusion 2025 Update 9 a starších verzí,
  • Adobe ColdFusion 2023 Update 20 a starších verzí.

Oprava je dostupná v:

  • ColdFusion 2025 Update 10,
  • ColdFusion 2023 Update 21.

Riziko pro starší enterprise aplikace

Adobe ColdFusion je dodnes využíván především ve starších podnikových webových aplikacích. Ty bývají často dostupné z internetu, obsahují citlivá firemní data a zároveň nejsou aktualizovány tak často jako modernější webové platformy.

Vysoké riziko proto hrozí zejména:

  • organizacím veřejné správy,
  • univerzitám,
  • zdravotnickým institucím,
  • velkým podnikům provozujícím historické informační systémy.

Bezpečnostní společnosti zároveň upozorňují, že internet již prohledávají automatizované skenery hledající zranitelné ColdFusion servery. Riziko tak nepředstavují pouze cílené útoky, ale také masové kampaně vedené botnety.

Samotný patch nemusí stačit

Organizace, které aktualizují až nyní, by neměly předpokládat, že jsou po instalaci opravy automaticky v bezpečí.

Pokud byl server kompromitován ještě před nasazením aktualizace, může na něm útočník zanechat webshell nebo jiný mechanismus pro dlouhodobý přístup.

Administrátoři by proto měli kromě instalace bezpečnostní aktualizace provést také kontrolu na známky kompromitace, zejména:

  • přítomnost webshellů,
  • nově vytvořené nebo upravené soubory,
  • podezřelé procesy,
  • neobvyklé databázové přístupy,
  • HTTP logy a další indikátory kompromitace.

Zařazení CVE-2026-48282 do katalogu CISA KEV potvrzuje, že nejde pouze o teoretickou zranitelnost. Útoky již probíhají a organizace provozující Adobe ColdFusion by měly instalaci bezpečnostních aktualizací považovat za jednu z nejvyšších priorit.

Načítání komentářů...

Zůstaňte v obraze

Přihlaste se k odběru našeho newsletteru a získejte nejnovější informace o kybernetické bezpečnosti přímo do vaší e-mailové schránky.

Vaše údaje jsou v bezpečí. Newsletter můžete kdykoliv odhlásit.