Adobe Patch Tuesday Giugno 2026: Due Rari Bug CVSS 10 in Campaign Classic e 123 Correzioni Totali

Nonostante la gravità, Adobe ha dichiarato di non essere a conoscenza di attacchi attivi che sfruttassero queste falle al momento del rilascio. Tuttavia, i ricercatori di sicurezza hanno sollecitato l'applicazione immediata delle patch, aspettandosi un'intensa attività di ricerca per la creazione di exploit proof-of-concept . La correzione si applica a Campaign Classic ACC v7 build 9394 e versioni precedenti, su piattaforme Windows e Linux .

Aggiornamenti a Priorità 1: ColdFusion e Campaign Classic

Insieme a Campaign Classic, anche gli aggiornamenti per Adobe ColdFusion (APSB26-64) hanno ricevuto un rating di priorità di distribuzione pari a 1, il livello più alto per l'azienda, riservato alle vulnerabilità con un elevato rischio di essere prese di mira . Adobe ha corretto bug critici e importanti in ColdFusion 2025 e 2023 che potevano causare l'esecuzione di codice arbitrario, l'escalation di privilegi e l'aggiramento delle funzionalità di sicurezza .

Solo i bollettini di Campaign Classic e ColdFusion hanno ricevuto questa designazione di Priorità 1. A tutti gli altri prodotti del rilascio di giugno, inclusi Experience Manager e InDesign, è stata assegnata la Priorità 3, il che indica che Adobe attualmente li considera meno suscettibili di essere sfruttati in attacchi reali .

Ambito delle Correzioni per Tutti i Prodotti Coinvolti

I 123 CVE unici sono stati rilasciati in 11 avvisi di sicurezza. Secondo Qualys, 47 delle vulnerabilità corrette erano classificate come critiche e il loro sfruttamento poteva portare a esecuzione di codice arbitrario, escalation di privilegi e bypass delle funzionalità di sicurezza . L'elenco completo dei prodotti interessati includeva:

• Adobe Experience Manager ed Experience Manager Forms: Qui si concentrava una parte significativa delle vulnerabilità, incluse numerose falle di cross-site scripting (XSS) che potevano portare all'esecuzione di codice arbitrario .
• Adobe ColdFusion (APSb26-64): Vulnerabilità critiche e importanti nelle versioni 2025 e 2023 che portavano all'esecuzione di codice e all'escalation di privilegi .
• Adobe Campaign Classic (APSB26-66): Le due rare vulnerabilità CVSS 10 che consentivano l'esecuzione di codice arbitrario .
• Adobe Acrobat e Reader, InDesign, InCopy, Substance 3D Sampler, Content Credentials SDK, Dreamweaver e Format Plugins: Tutti hanno ricevuto patch per falle critiche e importanti che coinvolgevano esecuzione di codice, perdite di memoria e denial-of-service .

Per diversi prodotti, tra cui Content Credentials SDK e InDesign, Adobe ha confermato esplicitamente di non essere a conoscenza di exploit attivi per i problemi risolti .

Adobe vs Microsoft: La Sfida dei Patch Tuesday

Il rilascio di 123 vulnerabilità da parte di Adobe, sebbene massiccio, è stato drammaticamente oscurato dallo storico Patch Tuesday di Microsoft di giugno 2026, che secondo varie società di sicurezza ha corretto tra le 198 e le 211 vulnerabilità .

Il rilascio di Microsoft è stato un'anomalia storica, che ha polverizzato il suo precedente record di 175 CVE stabilito a ottobre 2025 . Considerando le patch del browser basato su Chromium per Edge, il numero totale di vulnerabilità affrontate da Microsoft a giugno è salito a oltre 570, scatenando nel settore un dibattito su una possibile "Patch Apocalypse", ovvero un'apocalisse degli aggiornamenti . Il rilascio di Adobe, seppur consistente, è stato più in linea con la sua tendenza a rilasciare grandi aggiornamenti in coincidenza con i cicli trimestrali .

Cosa Devono Privilegiare Ora i Team IT

Per gli amministratori di sistema, la priorità di distribuzione è chiara. Gli aggiornamenti di Adobe Campaign Classic e ColdFusion dovrebbero essere in cima alla lista delle patch a causa del loro rating di Priorità 1 e della natura grave delle vulnerabilità, in particolare i due bug CVSS 10. Sebbene non siano stati rilevati exploit attivi, l'impatto potenziale e lo storico di ColdFusion come bersaglio popolare per gli aggressori rendono essenziale un patching rapido .