Adobe Patch Tuesday Juni 2026: 'Unicorn' Dua Bug CVSS 10 dan Bagaimana Rilis 123 Perbaikan Ini Dibandingkan dengan Rekor Microsoft

Meskipun tingkat keparahannya tinggi, Adobe menyatakan tidak mengetahui adanya serangan aktif yang mengeksploitasi kelemahan Campaign Classic ini pada saat rilis. Namun, para peneliti keamanan mendesak penambalan segera, karena mengantisipasi riset besar-besaran untuk membuat eksploit proof-of-concept . Perbaikan berlaku untuk Campaign Classic ACC v7 build 9394 dan sebelumnya di platform Windows dan Linux .

Penerapan Prioritas 1: ColdFusion dan Campaign Classic

Bersamaan dengan Campaign Classic, pembaruan Adobe ColdFusion (APSB26-64) diberi peringkat prioritas penerapan 1, level tertinggi perusahaan, yang disediakan untuk kerentanan dengan risiko tinggi menjadi sasaran serangan . Adobe menambal kerentanan kritis dan penting di ColdFusion 2025 dan 2023 yang dapat mengakibatkan eksekusi kode arbitrer, peningkatan hak istimewa, dan bypass fitur keamanan .

Hanya buletin Campaign Classic dan ColdFusion yang menerima penunjukan Prioritas 1 ini. Semua produk lain dalam rilis Juni, termasuk Experience Manager dan InDesign, diberi Prioritas 3, menunjukkan Adobe saat ini menganggapnya lebih kecil kemungkinannya untuk dieksploitasi dalam serangan dunia nyata .

Cakupan Perbaikan di Semua Produk yang Terpengaruh

123 CVE unik dirilis melalui 11 advisori keamanan. Menurut Qualys, 47 kerentanan yang ditambal berperingkat kritis, dengan eksploitasi berpotensi menyebabkan eksekusi kode arbitrer, peningkatan hak istimewa, dan bypass fitur keamanan . Daftar lengkap produk yang terpengaruh meliputi:

• Adobe Experience Manager dan Experience Manager Forms: Sebagian besar kerentanan terkonsentrasi di sini, termasuk banyak kelemahan cross-site scripting (XSS) yang dapat menyebabkan eksekusi kode arbitrer .
• Adobe ColdFusion (APSB26-64): Kerentanan kritis dan penting di versi 2025 dan 2023 yang mengarah ke eksekusi kode dan peningkatan hak istimewa .
• Adobe Campaign Classic (APSB26-66): Dua kerentanan CVSS 10 langka yang memungkinkan eksekusi kode arbitrer .
• Adobe Acrobat dan Reader, InDesign, InCopy, Substance 3D Sampler, Content Credentials SDK, Dreamweaver, dan Format Plugins: Semua menerima tambalan untuk kelemahan kritis dan penting yang melibatkan eksekusi kode, kebocoran memori, dan penolakan layanan .

Untuk beberapa produk, termasuk Content Credentials SDK dan InDesign, Adobe secara eksplisit mengonfirmasi tidak mengetahui adanya eksploit di alam liar untuk masalah yang dibahas .

Adobe vs. Microsoft: Kisah Dua Patch Tuesday

Rilis 123 kerentanan Adobe, meskipun masif, secara dramatis dibayangi oleh Patch Tuesday Juni 2026 Microsoft yang memecahkan rekor, yang dilaporkan oleh berbagai firma keamanan menambal antara 198 hingga 211 kerentanan .

Rilis Microsoft adalah outlier bersejarah, menghancurkan rekor sebelumnya 175 CVE yang ditetapkan pada Oktober 2025 . Jika memperhitungkan tambalan browser berbasis Chromium untuk Edge, jumlah total kerentanan yang ditangani Microsoft pada bulan Juni melonjak menjadi lebih dari 570, memicu diskusi industri tentang "Kiamat Tambalan" . Rilis Adobe, meskipun substansial, lebih sejalan dengan tren pembaruan besar yang selaras dengan kuartal .

Yang Harus Diprioritaskan Tim IT Sekarang

Bagi administrator sistem, prioritas penerapan sudah jelas. Pembaruan Adobe Campaign Classic dan ColdFusion harus berada di urutan teratas daftar tambalan karena peringkat Prioritas 1 dan sifat kerentanan yang parah, khususnya dua bug CVSS 10. Meskipun belum ada eksploit yang terdeteksi di alam liar, dampak potensial dan pola historis ColdFusion yang menjadi target populer bagi penyerang membuat penambalan cepat sangat penting .