Adobe heeft updates voor kritieke kwetsbaarheden in ColdFusion uitgebracht en roept beheerders op om die zo snel mogelijk te installeren, waarbij als voorbeeld binnen 72 uur wordt genoemd. Beveiligingslekken in ColdFusion zijn geregeld het doelwit van aanvallen. De nieuwste problemen in de software maken het mogelijk voor aanvallers om willekeurige code op ColdFusion-servers te installeren, rechten te verhogen en securityfeatures te omzeilen.
ColdFusion is een platform voor het ontwikkelen van webapplicaties. Kwetsbaarheden in de oplossing kunnen aanvallers vaak toegang tot ColdFusion-server geven. Volgens het Amerikaanse cyberagentschap CISA zijn de afgelopen jaren zeventien verschillende ColdFusion-lekken actief misbruikt door aanvallers, onder andere bij ransomware-aanvallen.
Gisterenavond kwam Adobe met ColdFusion 2025 Update 11 en ColdFusion 2023 Update 22 die in totaal twaalf kritieke kwetsbaarheden verhelpen. De gevaarlijkste kwetsbaarheid is CVE-2026-48318. Het betreft een path traversal-lek dat het uitvoeren van willekeurige code maakt. De impact is op een schaal van 1 tot en met 10 beoordeeld met een 9.9. Adobe geeft het installeren van de updates de hoogste prioriteit. Het doet dit bij producten die in het verleden doelwit van aanvallen zijn geworden of een verhoogd risico op aanvallen lopen.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.