Sürgősségi Adobe javítás érkezett ColdFusion és Campaign Classic rendszerekhez hét maximális súlyosságú sérülékenység miatt

Adobe ColdFusion sérülékenység

Az Adobe sürgősségi biztonsági frissítéseket adott ki az Adobe ColdFusion és az Adobe Campaign Classic rendszerekhez, miután hét kritikus, 10.0 CVSS pontszámú sérülékenységet azonosítottak.

A hibák távoli kódfuttatást tehetnek lehetővé, több esetben hitelesítés és felhasználói interakció nélkül. Bár az Adobe szerint jelenleg nincs bizonyíték aktív kihasználásra, a vállalat a frissítéseket a legmagasabb prioritási kategóriába sorolta, és 72 órán belüli telepítést javasol.

Hat kritikus ColdFusion sérülékenység

A legsúlyosabb hibák az Adobe ColdFusion rendszereket érintik.

Érintett verziók:

  • ColdFusion 2025 Update 9 és korábbi verziók;
  • ColdFusion 2023 Update 20 és korábbi verziók.

A javított hibák között szerepel:

  • CVE-2026-48276 – veszélyes fájltípus korlátozás nélküli feltöltése;
  • CVE-2026-48277 – hibás inputvalidáció;
  • CVE-2026-48281 – hibás inputvalidáció;
  • CVE-2026-48316 – hibás inputvalidáció;
  • CVE-2026-48282 – path traversal sérülékenység.

A sérülékenységek sikeres kihasználása lehetővé teheti, hogy a támadó tetszőleges kódot futtasson az érintett szerveren az aktuális felhasználó jogosultságaival.

A hibákat az Adobe az alábbi verziókban javította:

  • ColdFusion 2025 Update 10;
  • ColdFusion 2023 Update 21.

Miért különösen veszélyesek ezek a hibák?

A sérülékenységek olyan kategóriákba tartoznak, amelyeket a támadók gyakran használnak szerverek kompromittálására.

Ilyenek például:

  • korlátozás nélküli fájlfeltöltés;
  • hibás bemenetellenőrzés;
  • path traversal;
  • távoli kódfuttatás.

Ezek lehetővé tehetik rosszindulatú fájlok feltöltését, alkalmazáskontrollok megkerülését vagy a fájlrendszer manipulálását.

Mivel sok ColdFusion szerver internet felől is elérhető, az ilyen sérülékenységek a nyilvánosságra kerülés után gyorsan támadói célponttá válhatnak.

Adobe Campaign Classic is érintett

Az Adobe Campaign Classic esetében a CVE-2026-48286 sérülékenységet javították, amely szintén 10.0 CVSS pontszámot kapott.

A hiba hibás jogosultságkezelésből ered, és lehetővé teheti tetszőleges kód futtatását az aktuális felhasználó jogosultságaival.

Érintett verzió:

  • Adobe Campaign Classic 7.4.3 build 9396 és korábbi verziók.

A javított verzió:

  • Adobe Campaign Classic 7.4.3 build 9397.

Az Adobe szerint a probléma kizárólag az ügyfelek által üzemeltetett, on-premises vagy hibrid Campaign Classic környezeteket érinti. Az Adobe által hosztolt példányok már megkapták a szükséges frissítéseket.

Nincs ismert aktív kihasználás, de magas a kockázat

Az Adobe közlése szerint jelenleg nincs bizonyíték arra, hogy a sérülékenységeket aktívan kihasználnák.

Ennek ellenére a vállalat Priority 1 besorolást adott a javításoknak.

Ez azt jelenti, hogy az Adobe szerint:

  • a sérülékenységek magas kockázatúak;
  • a termékeket korábban gyakran célozták támadók;
  • a javításokat a lehető leghamarabb, lehetőleg 72 órán belül telepíteni kell.

Gyorsabb Adobe biztonsági frissítési ütemezés jön

Az Adobe azt is bejelentette, hogy 2026. július 14-től megváltoztatja biztonsági közleményeinek ütemezését.

A korábbi havi kiadás helyett a vállalat havonta kétszer, minden hónap második és negyedik keddjén tesz közzé biztonsági frissítéseket.

A cél az, hogy a sérülékenységek felfedezése és javítása között rövidebb idő teljen el.

Az Adobe továbbra is fenntartja az out-of-band, azaz rendkívüli sürgősségi javítások lehetőségét aktívan kihasznált zero-day hibák vagy más kiemelt fenyegetések esetén.

A ColdFusion régóta kiemelt célpont

A ColdFusion évek óta visszatérő célpontja kiberbűnözőknek, zsarolóvírus-csoportoknak és pénzügyileg motivált támadóknak.

Ennek oka, hogy a platformot gyakran használják:

  • kormányzati szervezetek;
  • pénzügyi intézmények;
  • egészségügyi szolgáltatók;
  • oktatási intézmények;
  • nagyvállalatok;
  • üzletileg kritikus webalkalmazások.

Egy sérülékeny ColdFusion szerver kompromittálása után a támadók további rendszerek felé mozoghatnak, hitelesítő adatokat lophatnak, vagy akár ransomware-t is telepíthetnek.

Mit tegyenek az érintett szervezetek?

Az Adobe ColdFusion vagy Campaign Classic rendszereket üzemeltető szervezeteknek javasolt:

  • haladéktalanul telepíteni a frissítéseket;
  • ellenőrizni az internet felől elérhető ColdFusion és Campaign Classic példányokat;
  • korlátozni az adminisztrációs felületek nyilvános elérését;
  • átnézni az alkalmazás- és rendszerlogokat;
  • hálózati szegmentációt alkalmazni;
  • ideiglenesen tűzfalszabályokkal vagy virtuális patchinggel csökkenteni a kitettséget, ha az azonnali frissítés nem megoldható.

Összegzés

Az Adobe legújabb sürgősségi frissítése hét maximális súlyosságú sérülékenységet javít a ColdFusion és Campaign Classic rendszerekben.

Bár aktív kihasználást egyelőre nem észleltek, a hibák távoli kódfuttatást tehetnek lehetővé, ezért az internet felől elérhető rendszerek kiemelt kockázatnak vannak kitéve.

A szervezeteknek célszerű a javításokat az Adobe ajánlásának megfelelően 72 órán belül telepíteniük, különösen akkor, ha ColdFusion szervereik nyilvánosan elérhetők.

Az oldal tartalma nem másolható!