Minuten, geen maanden, van analyse tot aanval

Het oude ritme van kwetsbaarheidsrespons ging uit van een marge. Een lek wordt bekendgemaakt, verdedigers lezen de melding, plannen een onderhoudsvenster en patchen voordat aanvallers een werkende exploit bouwen. CVE-2026-48282 wiste die marge. Het is een pad-traversal-lek in Adobe ColdFusion, de langlopende applicatieserver die nog steeds een verrassend aantal zakelijke webapplicaties draagt, en het haalt de maximale 10,0 omdat een aanvaller zonder inloggegevens door het bestandssysteem kan lopen en uitvoering van code op afstand op de server zelf kan bereiken. Adobe leverde de oplossing op 30 juni met zijn hoogste prioriteit, voor enig openbaar detail.

Toen kromp de marge tot niets. Op 2 juli, binnen minuten nadat het beveiligingsbedrijf watchTowr een technische ontleding van het lek publiceerde, registreerden lokvinksensoren de eerste echte uitbuitingspoging, vanaf een IP-adres met locatie in India. De uitleg en de eerste aanval kwamen dezelfde middag. Dat is het getal dat een eigenaar uit dit verhaal zou moeten meenemen: niet de CVSS-score, maar het interval tussen het moment dat een lek publiek wordt en het moment dat het iemands inbraak wordt, nu gemeten in minuten.

De voorwaarde die bepaalt of u kwetsbaar bent

Niet elke ColdFusion-server is bereikbaar, en dat is het enige goede nieuws. Het lek zit in de Remote Development Services van ColdFusion, een functie bedoeld om ontwikkelaars tegen een draaiende server te laten werken, en het is alleen uitbuitbaar wanneer die dienst aan staat en de eigen authenticatie uit is. Die combinatie is niet de standaardconfiguratie, dus een moderne, strak ingerichte instantie ligt waarschijnlijk niet in de vuurlinie.

Het gevaar zit waar die instelling stil overleeft. Het is de oudere ColdFusion-server, jaren geleden opgezet, waar een ontwikkelaar de Remote Development Services voor het gemak tijdens een project aanzette en niemand ze ooit weer uitzette, nu vergeten achter een zakelijke applicatie die sindsdien niemand heeft gecontroleerd. Adobe dichtte het gat in ColdFusion 2023 Update 21 en 2025 Update 10; getroffen zijn de versies 2025.9, 2023.20 en elke eerdere. De servers die de kwetsbare configuratie het waarschijnlijkst draaien zijn precies die welke het minst waarschijnlijk op iemands patchlijst staan.

De deadline is federaal, de klok is van iedereen

Op 7 juli voegde het Amerikaanse cyberbureau CISA CVE-2026-48282 toe aan zijn catalogus van uitgebuite kwetsbaarheden onder de Binding Operational Directive 26-04, met opdracht aan federale diensten om voor 10 juli te patchen. Operators in Nederland en de EU zijn niet aan die richtlijn gebonden, maar de klok die zij zet is een redelijke maat voor de eigen: een lek dat binnen minuten na bekendmaking wordt uitgebuit wacht niet op een onderhoudsvenster. In Nederland wijst het NCSC dezelfde kant op, en onder NIS2 ligt de plicht om een bekend uitgebuite kwetsbaarheid op uw eigen systemen te beheersen bij u.

De respons is smal en concreet in plaats van breed. Vind elke ColdFusion-instantie die u draait, inclusief die geërfd via overnames of achtergelaten door een voormalige leverancier. Bevestig of de Remote Development Services aan staan en of de authenticatie uit is. Patch de getroffen versies naar 2023 Update 21 of 2025 Update 10, en waar een onmiddellijke patch onmogelijk is, schakel de dienst uit en zet de server achter een firewall in plaats van aan het open internet. Omdat de uitbuiting al loopt, moet een bereikbare en ongepatchte server als mogelijk al bereikt worden behandeld.