Im Zentrum der aktuellen Warnungen steht CVE-2026-48282, eine kritische Schwachstelle in Adobe ColdFusion mit maximaler Bewertung von 10,0 auf der CVSS-Skala. Nach Angaben aus dem Quelltext handelt es sich um einen Path-Traversal-Fehler, über den Angreifer beliebigen Code ausführen könnten.

Adobe hatte die Lücke am 30. Juni zusammen mit fünf weiteren Schwachstellen derselben Kritikalität behoben. Zur Behebung veröffentlichte der Hersteller ColdFusion 2025 Update 10 und ColdFusion 2023 Update 21. In seinem Hinweis erklärte Adobe dabei, es lägen keine Erkenntnisse über Angriffe vor, die diese Schwachstellen bereits in freier Wildbahn ausnutzten.

Trotzdem versah Adobe das Update mit der Prioritätsstufe 1. Damit machte das Unternehmen deutlich, dass ein hohes Risiko besteht, dass Angreifer die Schwachstellen ins Visier nehmen könnten, und forderte Nutzer auf, die Aktualisierungen schnellstmöglich einzuspielen.

Nach Angaben der Plattform für Schwachstellenaufklärung KEVIntel begann die Ausnutzung von CVE-2026-48282 allerdings schon innerhalb von zwei Stunden nach der öffentlichen Offenlegung. KEVIntel-Gründer Ryan Dewhurst erklärte: „KEVIntel hat die Ausnutzung in freier Wildbahn in unserem globalen Honeypot-Netzwerk erfasst.“

Kurz darauf warnte auch das Canadian Centre for Cyber Security, dass die CVE in Angriffen ausgenutzt worden sei. Die Behörde stützte sich dabei auf öffentlich zugängliche Berichte.

Adobe hat seinen Sicherheitshinweis bislang nicht um einen Vermerk ergänzt, dass die Schwachstelle bereits aktiv ausgenutzt wird. SecurityWeek teilte mit, das Unternehmen um eine Stellungnahme gebeten zu haben und den Bericht zu aktualisieren, falls eine Antwort eingeht.

Piyush Sharma, Mitgründer und Geschäftsführer von Tuskira, sieht in dem Fall vor allem ein weiteres Beispiel für das schrumpfende Zeitfenster zwischen Offenlegung und Ausnutzung. „Adobe hat schnell einen Patch veröffentlicht, aber wir sehen, wie dramatisch sich das Entscheidungsfenster verkürzt hat. Berichten zufolge begannen Angreifer innerhalb von zwei Stunden nach der öffentlichen Offenlegung mit der Ausnutzung der Schwachstelle, lange bevor viele Organisationen Patches in Produktionsumgebungen realistisch validieren, priorisieren, testen und ausrollen konnten“, sagte Sharma.

Er ergänzte, die eigentliche Schwierigkeit liege darin, festzustellen, welche Systeme erreichbar seien, welche Schwachstellen konkrete Angriffspfade eröffneten und welche kompensierenden Kontrollen die Angriffsfläche während der Behebung verringern könnten. Mit dem weiter schrumpfenden Abstand zwischen Offenlegung und Ausnutzung würden Organisationen zunehmend über die Geschwindigkeit und Qualität ihrer Sicherheitsentscheidungen konkurrieren, so Sharma.