Adobe Juni 2026 Patch Tuesday: Den Sjældne 'Enhjørning' af CVSS 10-Fejl, og Hvordan Udgivelsen Sammenlignes med Microsofts Rekordstore Opdatering

Trods alvorligheden var Adobe ikke bekendt med aktive angreb, der udnyttede disse Campaign Classic-fejl på udgivelsestidspunktet. Sikkerhedsforskere opfordrede dog til øjeblikkelig patching, da de forventede intens forskning i at skabe proof-of-concept udnyttelser . Rettelsen gælder for Campaign Classic ACC v7 build 9394 og tidligere på både Windows- og Linux-platforme .

Højeste prioritet: ColdFusion og Campaign Classic

Sideløbende med Campaign Classic fik opdateringerne til Adobe ColdFusion (APSB26-64) tildelt en prioritetsvurdering på 1 – virksomhedens højeste niveau forbeholdt sårbarheder med høj risiko for at blive mål for angreb . Adobe rettede kritiske sårbarheder i ColdFusion 2025 og 2023, der potentielt kunne resultere i vilkårlig kodeudførsel, rettighedsudvidelse og omgåelse af sikkerhedsfunktioner .

Kun Campaign Classic og ColdFusion fik denne højeste prioritetsmærkat. Alle andre produkter i juni-udgivelsen, herunder Experience Manager og InDesign, blev vurderet til prioritet 3, hvilket indikerer, at Adobe på nuværende tidspunkt anser dem for mindre sandsynlige at blive udnyttet i virkelige angreb .

Omfanget af rettelser på tværs af produkter

De 123 unikke CVE-numre blev frigivet på tværs af 11 sikkerhedsbulletiner. Ifølge Qualys var 47 af de lappede sårbarheder vurderet som kritiske, og en vellykket udnyttelse kunne føre til vilkårlig kodeudførsel, rettighedsudvidelse og omgåelse af sikkerhedsfunktioner . Den fulde liste over berørte produkter inkluderer:

• Adobe Experience Manager og Experience Manager Forms: En betydelig del af sårbarhederne var koncentreret her, herunder adskillige cross-site scripting (XSS)-fejl, der kunne føre til vilkårlig kodeudførsel .
• Adobe ColdFusion (APSB26-64): Kritiske sårbarheder i version 2025 og 2023, der kan føre til kodeudførsel og rettighedsudvidelse .
• Adobe Campaign Classic (APSB26-66): De to sjældne CVSS 10-sårbarheder, der muliggør vilkårlig kodeudførsel .
• Adobe Acrobat og Reader, InDesign, InCopy, Substance 3D Sampler, Content Credentials SDK, Dreamweaver og Format Plugins: Modtog alle patches for kritiske og vigtige fejl relateret til kodeudførsel, hukommelseslæk og denial-of-service .

For flere produkter, herunder Content Credentials SDK og InDesign, bekræftede Adobe udtrykkeligt, at man ikke var bekendt med nogen aktive exploits for de adresserede problemer .

Adobe mod Microsoft: En historie om to Patch Tuesdays

Adobes udgivelse med 123 sårbarheder var massiv, men blev dramatisk overskygget af Microsofts rekordstore Patch Tuesday samme dag, der af forskellige sikkerhedsfirmaer blev rapporteret til at lappe mellem 198 og 211 sårbarheder .

Microsofts udgivelse var en historisk afviger, der smadrede den tidligere rekord på 175 CVE'er sat i oktober 2025 . Når man medregner Chromium-baserede browserrettelser til Edge, nåede det samlede antal sårbarheder adresseret af Microsoft i juni op over 570, hvilket satte gang i diskussioner i branchen om en regulær "Patch Apocalypse" . Adobes udgivelse var, skønt betydelig, mere på linje med tendensen for dets store, kvartalstilpassede opdateringer .

Hvad it-teams bør prioritere nu

For systemadministratorer er prioriteringen klar. Opdateringerne til Adobe Campaign Classic og ColdFusion bør stå øverst på patchningslisten på grund af deres prioritet 1-status og den alvorlige karakter af sårbarhederne, især de to CVSS 10-fejl. Selvom der endnu ikke er opdaget aktive exploits, gør den potentielle effekt og det historiske mønster, hvor især ColdFusion har været et populært mål for hackere, hurtig patching absolut nødvendig .