Az Adobe sürgősségi biztonsági frissítéseket adott ki az Adobe ColdFusion és az Adobe Campaign Classic rendszerekhez, miután hét kritikus, 10.0 CVSS pontszámú sérülékenységet azonosítottak.
A hibák távoli kódfuttatást tehetnek lehetővé, több esetben hitelesítés és felhasználói interakció nélkül. Bár az Adobe szerint jelenleg nincs bizonyíték aktív kihasználásra, a vállalat a frissítéseket a legmagasabb prioritási kategóriába sorolta, és 72 órán belüli telepítést javasol.
Hat kritikus ColdFusion sérülékenység
A legsúlyosabb hibák az Adobe ColdFusion rendszereket érintik.
Érintett verziók:
- ColdFusion 2025 Update 9 és korábbi verziók;
- ColdFusion 2023 Update 20 és korábbi verziók.
A javított hibák között szerepel:
- CVE-2026-48276 – veszélyes fájltípus korlátozás nélküli feltöltése;
- CVE-2026-48277 – hibás inputvalidáció;
- CVE-2026-48281 – hibás inputvalidáció;
- CVE-2026-48316 – hibás inputvalidáció;
- CVE-2026-48282 – path traversal sérülékenység.
A sérülékenységek sikeres kihasználása lehetővé teheti, hogy a támadó tetszőleges kódot futtasson az érintett szerveren az aktuális felhasználó jogosultságaival.
A hibákat az Adobe az alábbi verziókban javította:
- ColdFusion 2025 Update 10;
- ColdFusion 2023 Update 21.
Miért különösen veszélyesek ezek a hibák?
A sérülékenységek olyan kategóriákba tartoznak, amelyeket a támadók gyakran használnak szerverek kompromittálására.
Ilyenek például:
- korlátozás nélküli fájlfeltöltés;
- hibás bemenetellenőrzés;
- path traversal;
- távoli kódfuttatás.
Ezek lehetővé tehetik rosszindulatú fájlok feltöltését, alkalmazáskontrollok megkerülését vagy a fájlrendszer manipulálását.
Mivel sok ColdFusion szerver internet felől is elérhető, az ilyen sérülékenységek a nyilvánosságra kerülés után gyorsan támadói célponttá válhatnak.
Adobe Campaign Classic is érintett
Az Adobe Campaign Classic esetében a CVE-2026-48286 sérülékenységet javították, amely szintén 10.0 CVSS pontszámot kapott.
A hiba hibás jogosultságkezelésből ered, és lehetővé teheti tetszőleges kód futtatását az aktuális felhasználó jogosultságaival.
Érintett verzió:
- Adobe Campaign Classic 7.4.3 build 9396 és korábbi verziók.
A javított verzió:
- Adobe Campaign Classic 7.4.3 build 9397.
Az Adobe szerint a probléma kizárólag az ügyfelek által üzemeltetett, on-premises vagy hibrid Campaign Classic környezeteket érinti. Az Adobe által hosztolt példányok már megkapták a szükséges frissítéseket.
Nincs ismert aktív kihasználás, de magas a kockázat
Az Adobe közlése szerint jelenleg nincs bizonyíték arra, hogy a sérülékenységeket aktívan kihasználnák.
Ennek ellenére a vállalat Priority 1 besorolást adott a javításoknak.
Ez azt jelenti, hogy az Adobe szerint:
- a sérülékenységek magas kockázatúak;
- a termékeket korábban gyakran célozták támadók;
- a javításokat a lehető leghamarabb, lehetőleg 72 órán belül telepíteni kell.
Gyorsabb Adobe biztonsági frissítési ütemezés jön
Az Adobe azt is bejelentette, hogy 2026. július 14-től megváltoztatja biztonsági közleményeinek ütemezését.
A korábbi havi kiadás helyett a vállalat havonta kétszer, minden hónap második és negyedik keddjén tesz közzé biztonsági frissítéseket.
A cél az, hogy a sérülékenységek felfedezése és javítása között rövidebb idő teljen el.
Az Adobe továbbra is fenntartja az out-of-band, azaz rendkívüli sürgősségi javítások lehetőségét aktívan kihasznált zero-day hibák vagy más kiemelt fenyegetések esetén.
A ColdFusion régóta kiemelt célpont
A ColdFusion évek óta visszatérő célpontja kiberbűnözőknek, zsarolóvírus-csoportoknak és pénzügyileg motivált támadóknak.
Ennek oka, hogy a platformot gyakran használják:
- kormányzati szervezetek;
- pénzügyi intézmények;
- egészségügyi szolgáltatók;
- oktatási intézmények;
- nagyvállalatok;
- üzletileg kritikus webalkalmazások.
Egy sérülékeny ColdFusion szerver kompromittálása után a támadók további rendszerek felé mozoghatnak, hitelesítő adatokat lophatnak, vagy akár ransomware-t is telepíthetnek.
Mit tegyenek az érintett szervezetek?
Az Adobe ColdFusion vagy Campaign Classic rendszereket üzemeltető szervezeteknek javasolt:
- haladéktalanul telepíteni a frissítéseket;
- ellenőrizni az internet felől elérhető ColdFusion és Campaign Classic példányokat;
- korlátozni az adminisztrációs felületek nyilvános elérését;
- átnézni az alkalmazás- és rendszerlogokat;
- hálózati szegmentációt alkalmazni;
- ideiglenesen tűzfalszabályokkal vagy virtuális patchinggel csökkenteni a kitettséget, ha az azonnali frissítés nem megoldható.
Összegzés
Az Adobe legújabb sürgősségi frissítése hét maximális súlyosságú sérülékenységet javít a ColdFusion és Campaign Classic rendszerekben.
Bár aktív kihasználást egyelőre nem észleltek, a hibák távoli kódfuttatást tehetnek lehetővé, ezért az internet felől elérhető rendszerek kiemelt kockázatnak vannak kitéve.
A szervezeteknek célszerű a javításokat az Adobe ajánlásának megfelelően 72 órán belül telepíteniük, különösen akkor, ha ColdFusion szervereik nyilvánosan elérhetők.




