2026. június 30-án került javításra az a 10/10-es CVSS pontszámú Adobe ColdFusionben található kritikus sérülékenység (CVE-2026-48282), amelyet a vizsgálatok szerint aktívan kihasználnak a kiberbűnözők.
A sebezhetőség kihasználása tetszőleges kódfuttatást tesz lehetővé a célrendszeren. A június 30-án kiadott javítócsomagban másik öt ilyen kritikus besorolású hiba is javításra került az Adobe ColdFusion 10-es és a ColdFusion 2023 21-es frissítésével. A javításokat (a sérülékenységek magas kockázati besorolása miatt) 1-es prioritásként kezelte az Adobe, így arra kérte felhasználókat, hogy minél előbb telepítsék a frissítéseket, mielőtt a támadók célba vennék a rendszereket. Ryan Dewhurst, a KEVIntel sebezhetőség-elemző cég alapítójának elmondása szerint azonban a támadók már a sérülékenység nyilvánosságra kerülését követő két órán belül elkezdték kihasználni a hibát. Nem sokkal később a Kanadai Kiberbitonsági Központ is megerősítette a sebezhetőség aktív kihasználását.
Bár az Adobe még nem frissítette a sérülékenységről szóló leírását a hiba kihasználására vonatkozóan, a Securityweek megkeresésére adott válaszukban azt nyilatkozták, hogy jelen esetben jelentős kihívást jelent a javításhoz rendelkezésre álló időablak. Ezalatt a két óra alatt a szervezeteknek nem volt elég idejük validálni, rangsorolni, tesztelni és telepíteni a javításokat az éles rendszereken. Amennyiben a jövőben tovább szűkül a sérülékenységek nyilvánosságra kerülése és azok kihasználása közötti időablak, az jelentősen befolyásolhatja majd a biztonsági oldal által hozott döntések sebességét és minőségét is.
