Adobe heeft patches uitgebracht voor meerdere zeer ernstige beveiligingsfouten die van invloed zijn op Adobe ColdFusion en Adobe Campaign Classic.
De ColdFusion-updates “repareren kritieke en belangrijke kwetsbaarheden die kunnen leiden tot het uitvoeren van willekeurige code, escalatie van bevoegdheden, het willekeurig lezen van bestandssystemen en het omzeilen van beveiligingsfuncties”, zei Adobe in een dinsdag vrijgegeven waarschuwing.
De kwetsbaarheden worden hieronder vermeld:
- CVE-2026-48276, CVE-2026-48283 (CVSS-scores: 10,0) – Onbeperkt uploaden van bestanden met gevaarlijke kwetsbaarheden die kunnen leiden tot uitvoering van willekeurige code
- CVE-2026-48277, CVE-2026-48281, CVE-2026-48316 (CVSS-scores: 10,0) – Onjuiste kwetsbaarheden bij invoervalidatie die kunnen leiden tot uitvoering van willekeurige code
- CVE-2026-48282 (CVSS-score: 10,0) – Een kwetsbaarheid bij het doorlopen van paden die kan leiden tot uitvoering van willekeurige code
- CVE-2026-48313 (CVSS-score: 9,3) – Een kwetsbaarheid bij het doorlopen van paden die kan leiden tot het willekeurig lezen van het bestandssysteem
- CVE-2026-48315 (CVSs-score: 9,3) – Een kwetsbaarheid voor onjuiste invoervalidatie die kan leiden tot escalatie van bevoegdheden
De problemen zijn verholpen in ColdFusion 2023 Update 21 en ColdFusion 2025 Update 10. Beveiligingsonderzoekers Anirudh Anand, Matan Sandori en 2Bsecure zijn gecrediteerd voor het ontdekken en rapporteren van CVE-2026-48283, CVE-2026-48313 en CVE-2026-48307.
Daarnaast heeft Adobe ook oplossingen geleverd om een kritieke fout in Adobe Campaign Classic op te lossen die gevolgen had voor de versies ACC v7: 7.4.3 build 9396 en eerder voor Windows en Linux en die zouden kunnen resulteren in het uitvoeren van willekeurige code.
De kwetsbaarheid, bijgehouden als CVE-2026-48286 (CVSS-score: 10,0) is een geval van onjuiste autorisatie waardoor een aanvaller willekeurige code op getroffen systemen kan uitvoeren. Het is gepatcht in versie ACC v7: 7.4.3 build 9397.
Adobe merkte op dat CVE-2026-48286 alleen van invloed is op on-premise Adobe Campaign-instanties, inclusief volledig on-premise implementaties en on-premise componenten in hybride implementaties. Door Adobe gehoste exemplaren zijn al bijgewerkt en vereisen geen actie.
Het bedrijf benadrukte ook dat het geen exploits in het wild heeft gevonden voor de problemen die in de twee updates zijn aangepakt.
De onthulling komt op het moment dat Adobe zei dat het vanaf 14 juli 2026 overgaat van maandelijkse naar tweemaandelijkse publicatie van beveiligingsbulletins en -adviezen op de tweede en vierde dinsdag van elke maand, als een direct gevolg van de versnelde ontdekking van kwetsbaarheden met behulp van kunstmatige intelligentie (AI) -modellen.
“De grensverleggende AI-mogelijkheden die we gebruiken zijn ook beschikbaar voor aanvallers, en de periode tussen het openbaar maken van kwetsbaarheden en actieve exploitatie wordt kleiner van dagen naar uren”, zegt Adobe’s Chief Security Officer Aanchal Gupta. “We passen AI toe om eerst kwetsbaarheden te vinden en op te lossen, en deze oplossingen sneller bij klanten te krijgen is de logische volgende stap.”