Kritická chyba v Adobe ColdFusion je aktivně zneužívána. Útočníci mohou převzít kontrolu nad serverem
Kritická zranitelnost CVE-2026-48282 v Adobe ColdFusion byla zařazena do katalogu aktivně zneužívaných zranitelností CISA KEV. Chyba s hodnocením CVSS 10.0 umožňuje neautentizované vzdálené spuštění kódu a představuje vážné riziko zejména pro organizace provozující starší podnikové webové aplikace.

Americká agentura CISA zařadila kritickou zranitelnost CVE-2026-48282 v Adobe ColdFusion do katalogu Known Exploited Vulnerabilities (KEV). Chyba s maximálním hodnocením CVSS 10.0 umožňuje neautentizovanému útočníkovi vzdáleně spustit vlastní kód na zranitelném serveru. Adobe vydalo bezpečnostní aktualizace již 30. června 2026, přesto jsou nyní potvrzeny případy aktivního zneužívání.
Chyba umožňuje převzít kontrolu nad serverem
Zranitelnost typu path traversal se nachází v komponentě Remote Development Services (RDS), konkrétně ve FILEIO handleru. Nedostatečná validace cest umožňuje útočníkovi přistupovat k souborům mimo očekávané adresáře, což může vést až ke vzdálenému spuštění kódu (Remote Code Execution, RCE).
Útok navíc nevyžaduje žádnou autentizaci ani interakci uživatele. Pokud je zranitelný ColdFusion server dostupný z internetu, může být kompromitován pouhým zasláním speciálně vytvořeného požadavku.
Útočník následně může:
- získat plnou kontrolu nad serverem,
- nahrát webshell nebo jiný malware,
- přistupovat k databázím,
- odcizit citlivá data,
- využít server jako výchozí bod pro laterální pohyb v interní síti.
Oprava existuje, útoky už probíhají
Adobe vydalo bezpečnostní aktualizace 30. června 2026, které zranitelnost opravují. Již během několika následujících dnů však bezpečnostní společnosti zaznamenaly první pokusy o její zneužití a 7. července byla chyba zařazena do katalogu CISA KEV, který obsahuje pouze zranitelnosti aktivně zneužívané při reálných útocích.
To potvrzuje trend posledních let – doba mezi zveřejněním bezpečnostní opravy a vznikem funkčních exploitů se stále zkracuje.
Které verze jsou zranitelné
Zranitelnost se týká:
- Adobe ColdFusion 2025 Update 9 a starších verzí,
- Adobe ColdFusion 2023 Update 20 a starších verzí.
Oprava je dostupná v:
- ColdFusion 2025 Update 10,
- ColdFusion 2023 Update 21.
Riziko pro starší enterprise aplikace
Adobe ColdFusion je dodnes využíván především ve starších podnikových webových aplikacích. Ty bývají často dostupné z internetu, obsahují citlivá firemní data a zároveň nejsou aktualizovány tak často jako modernější webové platformy.
Vysoké riziko proto hrozí zejména:
- organizacím veřejné správy,
- univerzitám,
- zdravotnickým institucím,
- velkým podnikům provozujícím historické informační systémy.
Bezpečnostní společnosti zároveň upozorňují, že internet již prohledávají automatizované skenery hledající zranitelné ColdFusion servery. Riziko tak nepředstavují pouze cílené útoky, ale také masové kampaně vedené botnety.
Samotný patch nemusí stačit
Organizace, které aktualizují až nyní, by neměly předpokládat, že jsou po instalaci opravy automaticky v bezpečí.
Pokud byl server kompromitován ještě před nasazením aktualizace, může na něm útočník zanechat webshell nebo jiný mechanismus pro dlouhodobý přístup.
Administrátoři by proto měli kromě instalace bezpečnostní aktualizace provést také kontrolu na známky kompromitace, zejména:
- přítomnost webshellů,
- nově vytvořené nebo upravené soubory,
- podezřelé procesy,
- neobvyklé databázové přístupy,
- HTTP logy a další indikátory kompromitace.
Zařazení CVE-2026-48282 do katalogu CISA KEV potvrzuje, že nejde pouze o teoretickou zranitelnost. Útoky již probíhají a organizace provozující Adobe ColdFusion by měly instalaci bezpečnostních aktualizací považovat za jednu z nejvyšších priorit.