Adobe har publisert sikkerhetsoppdateringer som retter flere Adobe ColdFusion-sårbarheter samt en kritisk sårbarhet i Adobe Campaign Classic. Feilene kan gjøre det mulig for angripere å kjøre vilkårlig kode på sårbare systemer. Selskapet har ikke registrert aktiv utnyttelse, men advarer om at sårbarhetene har høy risiko for å bli angrepet og oppfordrer administratorer til å installere oppdateringene så raskt som mulig.

Den nyeste oppdateringen retter sju sårbarheter med høyeste alvorlighetsgrad i de to bedriftsproduktene. Alle kan utnyttes gjennom angrep med lav kompleksitet og krever ingen brukerinteraksjon.

Adobe retter flere kritiske ColdFusion-sårbarheter

Adobe har tettet seks kritiske Adobe ColdFusion-sårbarheter som påvirker ColdFusion versjon 2025.9, 2023.20 og tidligere versjoner.

Sårbarhetene har følgende CVE-numre:

  • CVE-2026-48276
  • CVE-2026-48277
  • CVE-2026-48281
  • CVE-2026-48316
  • CVE-2026-48282
  • Én ytterligere ColdFusion-sårbarhet med høyeste alvorlighetsgrad som inngår i den siste oppdateringen

Ifølge Adobe kan angripere utnytte disse sårbarhetene uten autentisering for å oppnå ekstern kjøring av kode på servere som ikke er oppdatert.

Selskapet har gitt alle seks sårbarhetene prioriteringsnivå Priority 1, noe som betyr at risikoen for fremtidig utnyttelse vurderes som høy, og at administratorer bør installere oppdateringene umiddelbart.

Sårbarhet i Adobe Campaign muliggjør også kodekjøring

Adobe har også rettet CVE-2026-48286, en kritisk sårbarhet som påvirker Adobe Campaign Classic versjon 7.4.3 build 9396 og tidligere.

Dersom en angriper lykkes med å utnytte sårbarheten, kan vedkommende kjøre vilkårlig kode med rettighetene til den gjeldende brukeren.

Adobe understreker at problemet kun påvirker lokalt installerte versjoner av Campaign Classic, inkludert hybridmiljøer der enkelte komponenter kjører lokalt.

Adobe-hostede Campaign-installasjoner mottok sikkerhetsoppdateringen før informasjonen ble offentliggjort.

Adobe anbefaler oppdatering innen 72 timer

Adobe opplyser at selskapet ikke har observert aktiv utnyttelse av de nye sårbarhetene.

Likevel anbefaler selskapet at administratorer installerer oppdateringene innen 72 timer på grunn av den høye alvorlighetsgraden og den økte risikoen for fremtidige angrep.

Alle de sju sårbarhetene kan utnyttes gjennom angrep med lav kompleksitet og krever ingen brukerinteraksjon. Dermed kan de raskt bli attraktive mål når offentlige proof-of-concept-utnyttelser blir tilgjengelige.

Adobe oppfordrer administratorer til å prioritere disse oppdateringene for å redusere risikoen for eksterne angrep.

Adobe øker tempoet på sikkerhetsoppdateringer

Samtidig med den nyeste sikkerhetsoppdateringen kunngjorde Adobe også endringer i hvordan selskapet publiserer fremtidige sikkerhetsbulletiner.

Fra og med 14. juli 2026 går Adobe over fra månedlige sikkerhetsoppdateringer til to publiseringer hver måned. Nye sikkerhetsbulletiner vil bli publisert den andre og fjerde tirsdagen hver måned.

Ifølge Adobe vil denne endringen gjøre det mulig å levere sikkerhetsoppdateringer raskere, samtidig som selskapet opprettholder dagens prosess for null-dagssårbarheter som allerede blir aktivt utnyttet.

Kunngjøringen kommer etter flere sikkerhetshendelser knyttet til Adobes programvare. I april publiserte selskapet blant annet en nødoppdatering for en null-dagssårbarhet i Acrobat Reader som angripere hadde utnyttet siden minst desember.

Adobe er fortsatt et attraktivt mål for trusselaktører. I løpet av de siste fem årene har den amerikanske cybersikkerhetsmyndigheten CISA lagt til 79 Adobe-sårbarheter i sin Known Exploited Vulnerabilities (KEV) Catalog. Av disse har 10 sårbarheter blitt utnyttet av ransomware-grupper i faktiske angrep.


0 responses to “Adobe tetter kritiske sårbarheter i ColdFusion og Campaign”