Adobe Juni 2026 Patch Tuesday: Zwei ‚Einhorn‘-CVSS-10-Lücken in Campaign Classic und 123 gesamte Fixes

Trotz der Schwere gab Adobe an, zum Zeitpunkt der Veröffentlichung keine aktiven Angriffe zu kennen, die diese Campaign-Classic-Schwachstellen ausnutzten. Sicherheitsforscher drängten jedoch auf sofortiges Patchen, da sie mit intensiver Forschung zur Erstellung von Proof-of-Concept-Exploits rechneten . Der Fix gilt für Campaign Classic ACC v7 Build 9394 und früher sowohl auf Windows- als auch auf Linux-Plattformen .

Bereitstellungen mit Priorität 1: ColdFusion und Campaign Classic

Neben Campaign Classic erhielten die ColdFusion-Updates von Adobe (APSB26-64) die Bereitstellungspriorität 1, die höchste Stufe des Unternehmens, reserviert für Schwachstellen mit einem hohen Risiko, ins Visier genommen zu werden . Adobe patchte kritische und wichtige Schwachstellen in ColdFusion 2025 und 2023, die zu willkürlicher Codeausführung, Rechteausweitung und Umgehung von Sicherheitsfunktionen führen konnten .

Nur die Bulletins für Campaign Classic und ColdFusion erhielten diese Einstufung mit Priorität 1. Allen anderen Produkten in der Juni-Veröffentlichung, einschließlich Experience Manager und InDesign, wurde Priorität 3 zugewiesen, was darauf hindeutet, dass Adobe sie derzeit für weniger wahrscheinlich von realen Angriffen betroffen hält .

Umfang der Fixes für alle betroffenen Produkte

Die 123 eindeutigen CVEs wurden in 11 Sicherheitshinweisen veröffentlicht. Laut Qualys wurden 47 der gepatchten Schwachstellen als kritisch eingestuft, wobei eine Ausnutzung potenziell zu willkürlicher Codeausführung, Rechteausweitung und Umgehung von Sicherheitsfunktionen führen kann . Die vollständige Liste der betroffenen Produkte umfasste:

• Adobe Experience Manager und Experience Manager Forms: Hier konzentrierte sich ein erheblicher Teil der Schwachstellen, darunter zahlreiche Cross-Site-Scripting (XSS)-Schwachstellen, die zu willkürlicher Codeausführung führen konnten .
• Adobe ColdFusion (APSB26-64): Kritische und wichtige Schwachstellen in den Versionen 2025 und 2023, die zu Codeausführung und Rechteausweitung führen .
• Adobe Campaign Classic (APSB26-66): Die zwei seltenen CVSS-10-Schwachstellen, die willkürliche Codeausführung ermöglichen .
• Adobe Acrobat und Reader, InDesign, InCopy, Substance 3D Sampler, Content Credentials SDK, Dreamweaver und Format Plugins: Alle erhielten Patches für kritische und wichtige Schwachstellen, einschließlich Codeausführung, Speicherlecks und Denial-of-Service .

Für mehrere Produkte, darunter Content Credentials SDK und InDesign, bestätigte Adobe ausdrücklich, dass keine Exploits für die behobenen Probleme im Umlauf bekannt sind .

Adobe vs. Microsoft: Eine Geschichte von zwei Patch Tuesdays

Adobes Veröffentlichung von 123 Schwachstellen wurde, obwohl massiv, dramatisch von Microsofts rekordverdächtigem Juni-2026-Patch-Tuesday überschattet, von dem verschiedene Sicherheitsfirmen berichteten, dass er zwischen 198 und 211 Schwachstellen patche .

Microsofts Veröffentlichung war ein historischer Ausreißer und übertraf den bisherigen Rekord von 175 CVEs, der im Oktober 2025 aufgestellt wurde . Rechnet man die Chromium-basierten Browser-Patches für Edge hinzu, schnellte die Gesamtzahl der von Microsoft im Juni behobenen Schwachstellen auf über 570 und löste in der Branche Diskussionen über eine „Patch-Apokalypse“ aus . Adobes Veröffentlichung war zwar beträchtlich, lag aber eher im Trend seiner großen, quartalsweise abgestimmten Updates .

Was IT-Teams jetzt priorisieren sollten

Für Systemadministratoren ist die Bereitstellungspriorität klar. Die Updates für Adobe Campaign Classic und ColdFusion sollten aufgrund ihrer Priorität-1-Einstufung und der schwerwiegenden Art der Schwachstellen, insbesondere der beiden CVSS-10-Bugs, ganz oben auf der Patch-Liste stehen. Obwohl noch keine Exploits im Umlauf entdeckt wurden, machen die potenziellen Auswirkungen und das historische Muster, dass ColdFusion ein beliebtes Ziel für Angreifer ist, ein schnelles Patchen unerlässlich .