Adobe, ColdFusion müşterilerini, maksimum önem derecesine sahip en az bir kusurun saldırganlar tarafından kullanıldığı rapor edildikten hemen sonra örneklerine yama yapmaları konusunda uyardı.
Yazılım devi, 30 Haziran'da APSB26-68 bülteninde 11 CVE için yamalar yayınladı. Bunlardan altısına 10 CVSS puanı verildi.
Güvenlik araştırmacıları, güvenlik açığının kamuya duyurulmasından birkaç saat sonra CVE-2026-48282'nin hedef alındığını belirtti.
Bu, popüler web uygulaması geliştirme platformunda rastgele kod yürütülmesine yol açabilecek bir yol geçiş hatasıdır.
Önemli Gelişmeler
Adobe kusurları hakkında daha fazlasını okuyun: Adobe ColdFusion'da Bulunan Yeni Güvenlik Açıkları
ShadowServer Foundation'ın verilerine göre çevrimiçi olarak açıkta kalan 775 ColdFusion örneği var.
CVE-2026-48282 ve APSB26-68'de listelenen diğer güvenlik açıkları, bu yazının yazıldığı sırada CISA'nın Bilinen Yararlanılan Güvenlik Açıkları kataloğunda yer almıyordu, ancak bu kesinlikle değişecek.
Teknik Analiz
Maksimum önem derecesine sahip hatalar özellikle tehlikelidir, çünkü kötüye kullanım kullanıcı etkileşimi gerektirmez.
Adobe Yama Temposunu Değiştiriyor
Yapay zekanın kullanım penceresi üzerindeki etkisinden endişe duyan Adobe, Haziran ayında güvenlik tavsiyelerinin aylık olarak yayınlanmasından iki ayda bir yayınlanmasına geçeceğini duyurdu.
Adobe baş güvenlik sorumlusu Aanchal Gupta şöyle konuştu: "Ayda iki kez bültenler, öncü yapay zeka çağına ayak uydurmamızı sağlayacak. Bulunan daha fazla güvenlik açığı, dağıtılacak daha fazla düzeltme anlamına geliyor ve ayda bir yayın aralığı artık rakiplerimizin önünde kalmak için yeterince hızlı değil."
"Bu yeni tempo, gelişmiş güvenlik açığı keşfine yatırım yapmanın doğrudan bir sonucudur. Yapay zeka keşfi hızlandırıyor ancak esneklik hâlâ temel temellere dayanıyor: görünürlük, katmanlı kontroller, sürekli izleme ve düzeltmeleri bulunduğunda hızlı bir şekilde gönderme disiplini."
Adobe, CVE-2026-48282'ye yönelik herhangi bir açıktan veya APSB26-68 bülteninde yayınlanan diğer kusurlardan hala haberdar olmadığını söyledi.
Sonuç ve Değerlendirme
Ancak ColdFusion teklifi saldırganlar için popüler bir hedeftir. 2023 yılında tehdit aktörleri kripto madenciliği, DDoS ve diğer saldırılarda platformu hedef aldı.