Adobe Patch Tuesday (červen 2026): Dva „unicorns“ bugy s hodnocením 10 a celkem 123 oprav

Adobe v době vydání oprav uvedlo, že si není vědomo žádných aktivních útoků zneužívajících tyto chyby v Campaign Classic. Bezpečnostní odborníci však naléhali na okamžité záplatování, protože očekávali intenzivní výzkum vedoucí k vytvoření proof-of-concept exploitů . Oprava se vztahuje na Campaign Classic ACC v7 build 9394 a starší, a to na platformách Windows i Linux .

Priority 1 nasazení: ColdFusion a Campaign Classic

Spolu s Campaign Classic byly aktualizace pro Adobe ColdFusion (APSB26-64) označeny stupněm priority nasazení 1, což je nejvyšší úroveň od Adobe vyhrazená pro zranitelnosti s vysokým rizikem cíleného zneužití . Adobe opravilo kritické a důležité zranitelnosti ve verzích ColdFusion 2025 a 2023, které by mohly vést k libovolnému spuštění kódu, eskalaci oprávnění a obejití bezpečnostních prvků .

Pouze bulletiny pro Campaign Classic a ColdFusion získaly toto označení Priority 1. Všechny ostatní produkty v červnovém balíku, včetně Experience Manageru a InDesignu, dostaly Prioritu 3, což signalizuje, že je Adobe v současnosti považuje za méně pravděpodobné cíle zneužití v reálných útocích .

Rozsah oprav napříč všemi produkty

Celkem 123 unikátních CVE bylo opraveno v rámci 11 bezpečnostních upozornění. Podle společnosti Qualys bylo 47 záplatovaných zranitelností klasifikováno jako kritické a jejich zneužití by mohlo vést k libovolnému spuštění kódu, eskalaci oprávnění a obejití bezpečnostních prvků . Úplný seznam dotčených produktů zahrnoval:

• Adobe Experience Manager a Experience Manager Forms: Zde se koncentrovala značná část zranitelností, včetně mnoha chyb typu cross-site scripting (XSS), které mohly vést ke spuštění libovolného kódu .
• Adobe ColdFusion (APSB26-64): Kritické a důležité zranitelnosti ve verzích 2025 a 2023 vedoucí ke spuštění kódu a eskalaci oprávnění .
• Adobe Campaign Classic (APSB26-66): Dvě vzácné zranitelnosti s CVSS 10 umožňující spuštění libovolného kódu .
• Adobe Acrobat a Reader, InDesign, InCopy, Substance 3D Sampler, Content Credentials SDK, Dreamweaver a Format Plugins: Všechny obdržely záplaty pro kritické a důležité chyby zahrnující spuštění kódu, úniky paměti a odmítnutí služby .

U několika produktů, včetně Content Credentials SDK a InDesignu, Adobe výslovně potvrdilo, že si není vědomo žádných exploitů v divočině pro řešené problémy .

Adobe vs. Microsoft: Příběh dvou „Patch Tuesdays“

Přestože byla 123členná sada oprav od Adobe masivní, zcela ji zastínilo rekordní „Patch Tuesday“ Microsoftu z června 2026, u kterého různé bezpečnostní firmy uváděly záplaty pro 198 až 211 zranitelností .

Microsoftí vydání bylo historickou anomálií, která překonala předchozí rekord 175 CVE z října 2025 . Po započtení záplat pro prohlížeč Edge založený na Chromiu celkový počet zranitelností, které Microsoft v červnu řešil, vystřelal na více než 570, což vyvolalo v oboru diskuse o „Záplatové apokalypse“ . Adobeho vydání, ačkoli značné, bylo spíše v souladu s trendem velkých, kvartálně sladěných aktualizací .

Na co by se IT týmy měly zaměřit přednostně

Pro systémové administrátory je priorita nasazení jasná. Aktualizace pro Adobe Campaign Classic a ColdFusion by měly být na prvním místě seznamu záplat kvůli jejich hodnocení Priority 1 a závažné povaze zranitelností, zejména dvou chyb s CVSS 10. Ačkoli v divočině nebyly detekovány žádné exploity, potenciální dopad a historický vzorec, kdy je ColdFusion oblíbeným cílem útočníků, činí rychlé záplatování naprosto nezbytným .