Adobe hat Sicherheitsupdates veröffentlicht, die mehrere Adobe ColdFusion-Schwachstellen sowie eine kritische Schwachstelle in Adobe Campaign Classic beheben. Die Sicherheitslücken könnten Angreifern ermöglichen, beliebigen Code auf anfälligen Systemen auszuführen. Obwohl Adobe bislang keine aktive Ausnutzung beobachtet hat, warnt das Unternehmen vor einem hohen Angriffsrisiko und empfiehlt Administratoren, die Updates so schnell wie möglich zu installieren.

Das aktuelle Update schließt insgesamt sieben Schwachstellen mit der höchsten Schwerebewertung in den beiden Unternehmensprodukten. Alle lassen sich mit geringem Aufwand ausnutzen und erfordern keine Benutzerinteraktion.

Adobe behebt mehrere kritische ColdFusion-Schwachstellen

Adobe hat sechs kritische Adobe ColdFusion-Schwachstellen geschlossen, die ColdFusion Version 2025.9, 2023.20 sowie ältere Versionen betreffen.

Die Schwachstellen tragen folgende CVE-Nummern:

  • CVE-2026-48276
  • CVE-2026-48277
  • CVE-2026-48281
  • CVE-2026-48316
  • CVE-2026-48282
  • Eine weitere ColdFusion-Schwachstelle mit höchster Schwerebewertung, die ebenfalls Bestandteil des Updates ist

Nach Angaben von Adobe können Angreifer diese Schwachstellen ohne Authentifizierung ausnutzen, um Remotecode auf ungepatchten Servern auszuführen.

Das Unternehmen hat alle sechs Schwachstellen mit der Prioritätsstufe Priority 1 eingestuft. Diese Bewertung weist auf ein hohes Risiko einer zukünftigen Ausnutzung hin und unterstreicht die Dringlichkeit der Installation.

Schwachstelle in Adobe Campaign ermöglicht ebenfalls Codeausführung

Adobe hat außerdem CVE-2026-48286 behoben, eine kritische Schwachstelle in Adobe Campaign Classic Version 7.4.3 Build 9396 und älteren Versionen.

Eine erfolgreiche Ausnutzung erlaubt Angreifern die Ausführung beliebigen Codes im Kontext des aktuell angemeldeten Benutzers.

Adobe stellt klar, dass ausschließlich lokal installierte Campaign-Classic-Umgebungen betroffen sind. Dazu zählen auch Hybridumgebungen mit lokalen Komponenten.

Von Adobe gehostete Campaign-Instanzen wurden bereits vor der öffentlichen Bekanntgabe abgesichert.

Adobe empfiehlt die Installation innerhalb von 72 Stunden

Adobe erklärt, bislang keine aktive Ausnutzung der neu behobenen Schwachstellen festgestellt zu haben.

Dennoch empfiehlt das Unternehmen, die Sicherheitsupdates innerhalb von 72 Stunden einzuspielen. Ausschlaggebend dafür sind die hohe Schwere der Schwachstellen und das erhöhte Risiko zukünftiger Angriffe.

Alle sieben Schwachstellen lassen sich mit geringem technischem Aufwand ausnutzen und erfordern keine Benutzerinteraktion. Dadurch könnten sie schnell zu attraktiven Zielen werden, sobald öffentliche Proof-of-Concept-Exploits verfügbar sind.

Adobe fordert Administratoren daher auf, diese Updates mit höchster Priorität einzuspielen, um das Risiko einer Kompromittierung zu verringern.

Adobe beschleunigt seinen Update-Rhythmus

Zeitgleich mit den aktuellen Sicherheitsupdates kündigte Adobe Änderungen an seinem Veröffentlichungsrhythmus für Sicherheitsbulletins an.

Ab dem 14. Juli 2026 veröffentlicht das Unternehmen Sicherheitsupdates nicht mehr monatlich, sondern zweimal pro Monat. Künftig erscheinen neue Bulletins jeweils am zweiten und vierten Dienstag eines Monats.

Nach Angaben von Adobe ermöglicht diese Umstellung eine schnellere Bereitstellung von Sicherheitsupdates. Gleichzeitig bleibt das bisherige Verfahren für aktiv ausgenutzte Zero-Day-Schwachstellen bestehen.

Die Ankündigung folgt auf mehrere Sicherheitsvorfälle rund um Adobe-Produkte. Bereits im April veröffentlichte das Unternehmen ein Notfallupdate für eine Zero-Day-Schwachstelle in Acrobat Reader, die Angreifer mindestens seit Dezember aktiv ausgenutzt hatten.

Adobe-Produkte bleiben weiterhin ein häufiges Ziel von Cyberkriminellen. In den vergangenen fünf Jahren hat die US-Cybersicherheitsbehörde CISA insgesamt 79 Adobe-Schwachstellen in ihren Known Exploited Vulnerabilities (KEV) Catalog aufgenommen. Zehn dieser Schwachstellen wurden nachweislich von Ransomware-Gruppen bei realen Angriffen ausgenutzt.


0 Kommentare zu „Adobe schließt kritische Schwachstellen in ColdFusion und Campaign“