Adobe ColdFusion kullanıcılarını tehdit eden yeni bir güvenlik açığı, CVE-2026-48282, saldırganlar tarafından hemen kullanılmaya başlandı. Bu kritik seviyedeki zafiyet, path traversal (yol geçişi) türünde olup, kimlik doğrulaması gerektirmeden uzaktan kod çalıştırılmasına olanak tanıyor. Etkilenen sürümler arasında ColdFusion 2025.9, 2023.20 ve daha eski versiyonlar yer alıyor. Adobe, açığın kolayca istismar edilebildiğini ve gerçek dünyada saldırılarda kullanılmaya başlandığını duyurdu.
Güvenlik araştırma firması KEVIntel, CVE-2026-48282 detaylarının kamuya açıklanmasından sadece iki saat sonra, saldırganların bu açığı kullanarak saldırılara başladığını tespit etti. KEVIntel kurucusu Ryan Dewhurst, saldırıların Hindistan merkezli bir saldırgan tarafından 103.207.14[.]220 IP adresinden gerçekleştirildiğini bildirdi. Bu hızlı istismar, kurumların güncellemeleri ne kadar acil uygulaması gerektiğini bir kez daha gösteriyor.
Adobe ColdFusion, geçmişte de benzer güvenlik açıklarıyla gündeme gelmişti. Şubat 2025'te ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), CVE-2017-3066 olarak bilinen bir Adobe ColdFusion serisizleştirme zafiyetini Bilinen İstismar Edilen Güvenlik Açıkları (KEV) kataloğuna eklemişti. Ayrıca, bu yılın başlarında GreyNoise, 2025 Noel tatilinde binlerce saldırı girişimiyle sonuçlanan, bir düzine Adobe ColdFusion güvenlik açığını hedef alan koordineli bir kampanya raporlamıştı.
CVE-2026-48282 zafiyeti, özellikle ColdFusion kullanan kurumlar için ciddi bir tehdit oluşturuyor. Uzmanlar, sistem yöneticilerine en kısa sürede Adobe'nin yayınladığı güvenlik güncellemelerini uygulamalarını tavsiye ediyor. Aksi takdirde, saldırganlar sunuculara tam erişim sağlayarak veri sızıntısı, kötü amaçlı yazılım yükleme ve ağ içinde yanal hareket gibi ciddi zararlar verebilir. Güncelleme yapılmadığı takdirde, bu açığın daha geniş çaplı saldırılara yol açması bekleniyor.