Adobe har udgivet sikkerhedsopdateringer, der retter flere Adobe ColdFusion-sårbarheder samt en kritisk sårbarhed i Adobe Campaign Classic. Fejlene kan give angribere mulighed for at udføre vilkårlig kode på sårbare systemer. Selvom virksomheden ikke har observeret aktiv udnyttelse, advarer den om, at sårbarhederne har stor risiko for at blive angrebet, og opfordrer administratorer til at installere opdateringerne hurtigst muligt.
Den seneste opdatering retter syv sårbarheder med den højeste alvorlighedsgrad på tværs af de to virksomhedsprodukter. Alle kan udnyttes gennem angreb med lav kompleksitet og kræver ingen brugerinteraktion.
Adobe retter flere kritiske ColdFusion-sårbarheder
Adobe har lukket seks kritiske Adobe ColdFusion-sårbarheder, som påvirker ColdFusion version 2025.9, 2023.20 og tidligere versioner.
Sårbarhederne har følgende CVE-numre:
- CVE-2026-48276
- CVE-2026-48277
- CVE-2026-48281
- CVE-2026-48316
- CVE-2026-48282
- Endnu en ColdFusion-sårbarhed med den højeste alvorlighedsgrad, som indgår i den seneste opdatering
Ifølge Adobe kan angribere udnytte disse sårbarheder uden autentificering til at opnå fjernudførelse af kode på servere, der ikke er blevet opdateret.
Virksomheden har tildelt alle seks sårbarheder Priority 1, hvilket betyder, at risikoen for fremtidig udnyttelse vurderes som høj, og at administratorer bør installere opdateringerne med det samme.
Sårbarhed i Adobe Campaign muliggør også kodeudførelse
Adobe har også rettet CVE-2026-48286, en kritisk sårbarhed, som påvirker Adobe Campaign Classic version 7.4.3 build 9396 og tidligere.
Hvis en angriber udnytter sårbarheden, kan vedkommende udføre vilkårlig kode med den aktuelle brugers rettigheder.
Adobe understreger, at problemet kun påvirker lokalt installerede versioner af Campaign Classic, herunder hybridmiljøer med lokale komponenter.
Adobe-hostede Campaign-installationer modtog sikkerhedsopdateringen, inden oplysningerne blev offentliggjort.
Adobe anbefaler opdatering inden for 72 timer
Adobe oplyser, at virksomheden ikke har registreret aktiv udnyttelse af de nye sårbarheder.
Alligevel anbefaler virksomheden, at administratorer installerer opdateringerne inden for 72 timer på grund af den høje alvorlighedsgrad og den forhøjede risiko for fremtidige angreb.
Alle syv sårbarheder kan udnyttes gennem angreb med lav kompleksitet og kræver ingen brugerinteraktion. Derfor kan de hurtigt blive attraktive mål, når offentlige proof-of-concept-udnyttelser bliver tilgængelige.
Adobe opfordrer administratorer til at prioritere disse opdateringer for at reducere risikoen for fjernangreb.
Adobe øger tempoet for sikkerhedsopdateringer
Samtidig med den seneste sikkerhedsopdatering annoncerede Adobe også ændringer i virksomhedens udgivelsesplan for sikkerhedsbulletiner.
Fra 14. juli 2026 går Adobe fra månedlige sikkerhedsopdateringer til to udgivelser om måneden. Fremover offentliggør virksomheden sikkerhedsbulletiner den anden og fjerde tirsdag hver måned.
Ifølge Adobe gør ændringen det muligt at levere sikkerhedsrettelser hurtigere, samtidig med at virksomheden bevarer den eksisterende proces for nuldagssårbarheder, som allerede bliver aktivt udnyttet.
Meddelelsen kommer efter flere sikkerhedshændelser, der har involveret Adobes produkter. I april udsendte virksomheden blandt andet en nødopdatering til en nuldagssårbarhed i Acrobat Reader, som angribere havde udnyttet siden mindst december.
Adobe er fortsat et attraktivt mål for trusselsaktører. I løbet af de seneste fem år har den amerikanske cybersikkerhedsmyndighed CISA tilføjet 79 Adobe-sårbarheder til sin Known Exploited Vulnerabilities (KEV) Catalog. Heraf er 10 sårbarheder blevet udnyttet af ransomwaregrupper i virkelige angreb.


0 svar til “Adobe retter kritiske sårbarheder i ColdFusion og Campaign”