Adobe har släppt säkerhetsuppdateringar som åtgärdar flera Adobe ColdFusion-sårbarheter samt en kritisk sårbarhet i Adobe Campaign Classic som kan göra det möjligt för angripare att köra godtycklig kod på sårbara system. Företaget har inte sett några aktiva attacker, men varnar för att sårbarheterna löper hög risk att utnyttjas och uppmanar administratörer att installera uppdateringarna så snart som möjligt.

Den senaste uppdateringen åtgärdar sju sårbarheter med högsta allvarlighetsgrad i de två företagsprodukterna. Samtliga kan utnyttjas genom attacker med låg komplexitet och kräver ingen användarinteraktion.

Adobe åtgärdar flera kritiska ColdFusion-sårbarheter

Adobe har täppt till sex kritiska Adobe ColdFusion-sårbarheter som påverkar ColdFusion version 2025.9, 2023.20 och tidigare versioner.

Sårbarheterna har följande CVE-nummer:

  • CVE-2026-48276
  • CVE-2026-48277
  • CVE-2026-48281
  • CVE-2026-48316
  • CVE-2026-48282
  • Ytterligare en ColdFusion-sårbarhet med högsta allvarlighetsgrad som ingår i den senaste uppdateringen

Enligt Adobe kan angripare utnyttja dessa sårbarheter utan autentisering för att köra fjärrkod på servrar som inte har uppdaterats.

Företaget har gett samtliga sex sårbarheter prioriteringsnivån Priority 1, vilket innebär att risken för framtida attacker bedöms vara hög och att administratörer bör installera uppdateringarna omgående.

Sårbarhet i Adobe Campaign möjliggör också kodkörning

Adobe har även åtgärdat CVE-2026-48286, en kritisk sårbarhet som påverkar Adobe Campaign Classic version 7.4.3 build 9396 och tidigare.

Om en angripare lyckas utnyttja sårbarheten kan denne köra godtycklig kod med den aktuella användarens behörigheter.

Adobe betonar att problemet endast påverkar lokalt installerade versioner av Campaign Classic, inklusive hybridmiljöer där vissa komponenter körs lokalt.

Adobe-hostade Campaign-installer har redan fått säkerhetsuppdateringarna innan informationen offentliggjordes.

Adobe rekommenderar uppdatering inom 72 timmar

Adobe uppger att företaget inte har upptäckt någon aktiv exploatering av de nya sårbarheterna.

Trots det rekommenderar företaget att administratörer installerar uppdateringarna inom 72 timmar på grund av den höga allvarlighetsgraden och den förhöjda risken för framtida attacker.

Samtliga sju sårbarheter kan utnyttjas genom attacker med låg komplexitet och kräver ingen användarinteraktion. Därför kan de snabbt bli attraktiva mål när publika proof-of-concept-exploits blir tillgängliga.

Adobe uppmanar administratörer att prioritera dessa uppdateringar för att minska risken för fjärrangrepp.

Adobe snabbar upp säkerhetsuppdateringarna

I samband med den senaste säkerhetsuppdateringen meddelade Adobe också förändringar i hur företaget publicerar framtida säkerhetsbulletiner.

Från och med 14 juli 2026 går Adobe över från månatliga säkerhetsuppdateringar till två publiceringar per månad. Nya säkerhetsbulletiner kommer att släppas den andra och fjärde tisdagen varje månad.

Enligt Adobe gör förändringen det möjligt att leverera säkerhetsuppdateringar snabbare, samtidigt som företaget behåller sin nuvarande rutin för akuta nolldagssårbarheter som redan utnyttjas i attacker.

Beskedet kommer efter flera säkerhetsincidenter som berört Adobes produkter. I april släppte företaget exempelvis en akut säkerhetsuppdatering för en nolldagssårbarhet i Acrobat Reader som angripare hade utnyttjat sedan åtminstone december.

Adobe fortsätter dessutom att vara ett populärt mål för hotaktörer. Under de senaste fem åren har den amerikanska cybersäkerhetsmyndigheten CISA lagt till 79 Adobe-sårbarheter i sin Known Exploited Vulnerabilities (KEV) Catalog. Av dessa har 10 sårbarheter utnyttjats av ransomwaregrupper i verkliga attacker.


0 svar till ”Adobe åtgärdar kritiska sårbarheter i ColdFusion och Campaign”