ALARM, alle ColdFusion-Admins aufwachen! Adobe hat im April-Patch-Tuesday richtig Alarmstufe Rot geliefert: fünf kritische Sicherheitslücken im klassischen Web-Application-Server Adobe ColdFusion sind raus – und davon sind 200.000 Server weltweit betroffen. Wenn du noch ColdFusion einsetzt, lies JETZT weiter, sonst kapern dir Hacker das System.
SCHOCK: Code-Ausführung mit einem Klick!
Die übelste Lücke heißt CVE-2026-27306 mit einem CVSS-Score von 8.4. Das ist eine sogenannte improper input validation, also eine Lücke, die einem Angreifer erlaubt, eigenen Code auf deinem Server auszuführen. Übersetzt: Wer ein paar krumme HTTP-Parameter schickt, lässt seine Befehle bei dir laufen – als wäre er der Admin.
Direkt dahinter kommt CVE-2026-27305 mit CVSS 8.6. Das ist ein Path-Traversal-Bug: Hacker spazieren damit aus dem ColdFusion-Verzeichnis hinaus und lesen jede Datei auf dem Server – inklusive Passwort-Dateien, Datenbank-Credentials und Backup-Dumps.
Die fünf neuen CVEs auf einen Blick
- CVE-2026-27306 – Code-Ausführung (CVSS 8.4)
- CVE-2026-27305 – Path-Traversal Lesen (CVSS 8.6)
- CVE-2026-27304 – Sicherheits-Feature-Bypass
- CVE-2026-27282 – Denial-of-Service
- CVE-2026-34619 – Code-Ausführung
Das ist eine ganze Palette an Angriffsflächen. Du kannst fast jedes Szenario durchspielen: Krasher, Datendieb, Bot-Implantat – alles drin.
HAMMER: Adobe schiebt ZWEI Updates hinterher!
Die Rettung kommt schnell und heißt ColdFusion 2025 Update 7 beziehungsweise ColdFusion 2023 Update 19. Beide sind am 14. April 2026 live gegangen. Wenn du noch auf ColdFusion 2021 oder älter bist: Bad news, denn diese Versionen werden nicht mehr gepatcht. Da hilft nur Upgrade.
So bekommst du die Patches:
- Im ColdFusion Administrator unter System Information deine Version checken.
- Auf helpx.adobe.com/coldfusion die passende Update-Seite öffnen.
- Update-JAR herunterladen, ColdFusion-Service stoppen.
- JAR über cfusion/cfsetup.bat update apply einspielen.
- Service starten und über System Information verifizieren.
Die ganze Aktion dauert 15 bis 30 Minuten – also keine Ausrede für „mach ich nächste Woche“.
EXTRA-WARNUNG: Tomcat im Bundle!
Adobe selbst weist im offiziellen Blog drauf hin, dass auch der mitgelieferte Apache Tomcat betroffen ist – die Version 9.0.111 hat eine eigene kritische Lücke. Wer das ColdFusion-Update einspielt, deckt das mit ab. Wer nur den Tomcat selbst patcht, lässt die ColdFusion-Bugs offen. Beides gehört zusammen!
So sieht ein Angriff in der Praxis aus
Die Path-Traversal-Lücke ist besonders üblich – Angreifer schicken HTTP-Anfragen in Richtung /CFIDE/administrator/<crafted-path> und greifen dann Datenbank-Configs, Logs oder gespeicherte CFML-Quellcodes ab. Wer diese Daten hat, kennt deine internen APIs, Datenbank-User und oft auch noch SSH-Schlüssel. Von dort ist der Schritt zum vollen Server-Takeover trivial.
EXTRA-TIPP: Reverse-Proxy-Filter setzen!
Wenn du den Patch nicht sofort einspielen kannst, baue temporär einen Filter im Reverse-Proxy. Sperre auf nginx-/Apache-Ebene jeden URL-Pfad mit „..“, URL-Encoded-Backslashes und Doppelpunkten aus. Das ist kein Patch, aber ein dicker Riegel, der die Angriffsfläche massiv schrumpft.
FAZIT: Updaten, oder Server abgeben!
ColdFusion ist ein typisches Legacy-System – läuft seit Jahren in Behörden, Versicherungen, Universitäten. Genau deshalb sind die Updates so wichtig. Niemand schaut hin, alle vergessen es – und genau dann schlagen die Hacker zu. Spiel die Patches heute noch ein, prüf deine Logs auf verdächtige Pfad-Anfragen, und stell sicher, dass dein ColdFusion nicht direkt aus dem Internet erreichbar ist. Wer das ignoriert, steht morgen ohne Server da.
EXTRA-Bonus: Welche ColdFusion-Versionen werden noch gewartet?
Das Upgrade-Bild für 2026 ist klar: ColdFusion 2025 bekommt Sicherheits-Updates bis 2030, ColdFusion 2023 bis 2028. ColdFusion 2021 ist seit Mitte 2025 EOL – kein einziger Patch mehr, auch nicht für kritische Bugs. Wer noch auf 2021 oder älter sitzt, sollte spätestens jetzt einen Migrationsplan haben. Das April-Patch-Tuesday ist die Erinnerung: Auf alten Versionen wirst du permanent verwundbar bleiben, weil neue Lücken regelmäßig in der Codebasis auftauchen, die seit Jahren keiner mehr anguckt.
So findest du ColdFusion-Server in deinem Netz
Wer in einer größeren Umgebung nicht weiß, wo überall noch ColdFusion-Instanzen laufen, sollte einmal mit nmap über die internen Subnetze fahren: nmap -p 8500,8501,8502 –script http-title 10.0.0.0/16. Der Standard-Port 8500 (Cold-Fusion-eigener Webserver) verrät die Software meistens sofort. Zusätzlich lohnt ein Blick in die Reverse-Proxy-Configs, weil viele Setups ColdFusion direkt unter Apache oder IIS verstecken. Tim sagt: Inventur ist die halbe Sicherheit – wer nicht weiß, was läuft, kann es auch nicht patchen.