Adobe 2026年6月セキュリティアップデート：Campaign ClassicにCVSS満点“ユニコーン”級の脆弱性、全123件修正

「優先度1」で即時対応を要請：ColdFusionとCampaign Classic

Campaign Classicと並んで、Adobe ColdFusion (APSB26-64) のアップデート**優先度が「1」**に指定されました。これはAdobe社内で最も高い評価で、将来の攻撃に悪用されるリスクが極めて高い脆弱性に対してのみ与えられます。Adobeは、ColdFusion 2025および2023向けのパッチで、任意のコード実行、権限昇格、セキュリティ機能のバイパスにつながる可能性がある「緊急」および「重要」の脆弱性を修正しました。

今回の6月のリリースで、この「優先度1」が割り当てられたのはCampaign ClassicとColdFusionの2製品のみです。Experience ManagerやInDesignといったその他すべての製品のアップデートは「優先度3」となっており、Adobeが現時点で実際の攻撃に悪用される可能性は低いと判断していることを示しています。

影響を受ける全製品と修正範囲

123件のユニークなCVE（共通脆弱性識別子）は、合計11件のセキュリティアドバイザリを通じて公開されました。Qualysの集計によると、修正された脆弱性のうち47件が「緊急」と評価され、悪用された場合、任意のコード実行、権限昇格、セキュリティ機能のバイパスにつながる恐れがあります。

影響を受ける製品の全リストは以下の通りです。

• Adobe Experience Manager および Experience Manager Forms: 今回の脆弱性の大部分がここに集中しており、任意のコード実行につながるクロスサイトスクリプティング（XSS）の脆弱性が多数含まれています。
• Adobe ColdFusion (APSB26-64): 2025年版と2023年版に存在し、コード実行や権限昇格を引き起こす「緊急」および「重要」の脆弱性。
• Adobe Campaign Classic (APSB26-66): 2件の極めて珍しいCVSS 10.0の脆弱性。任意のコード実行が可能。
• Adobe Acrobat および Reader、InDesign、InCopy、Substance 3D Sampler、Content Credentials SDK、Dreamweaver、Formatプラグイン: いずれも、コード実行、メモリ漏えい、サービス拒否（DoS）などに関わる「緊急」および「重要」の欠陥に対するパッチが提供されました。

Content Credentials SDKやInDesignを含む複数の製品について、Adobeは今回修正した問題を実際に悪用する事例は確認されていないことを明言しています。

Adobe vs. Microsoft：明暗を分けた「パッチ・チューズデー」

Adobeの123件の脆弱性修正という大規模なリリースも、同日に行われたマイクロソフトの記録的な更新の前では、その規模がかすんでしまいました。各種セキュリティ企業の報告によると、マイクロソフトは6月の月例更新で198件から211件の脆弱性を修正し、過去最大を記録しました。

マイクロソフトの今回のリリースは、2025年10月に記録した175件という過去最多のCVE数を大幅に更新する、歴史的な異常値となりました。さらに、Microsoft Edge（Chromium）向けのブラウザパッチを加えると、マイクロソフトが6月に対応した脆弱性の総数は570件以上に急増し、業界では「パッチ黙示録」という言葉が飛び交う事態となりました。これに対し、Adobeのリリースは件数こそ多いものの、四半期に一度の大規模アップデートという従来の傾向の範囲内と見なされています。

今、IT担当者が最優先すべきこと

システム管理者にとって、パッチ適用の優先順位は明確です。Adobe Campaign ClassicとColdFusionのアップデートは、いずれも「優先度1」に指定されており、特に2件のCVSS 10.0の脆弱性の深刻度を考慮すると、真っ先に適用すべきパッチの最上位に位置づけられます。現時点で実悪用の事例は報告されていませんが、その潜在的な影響の大きさ、そしてColdFusionが歴史的に攻撃者の格好の標的となってきた経緯を踏まえると、迅速な対応が不可欠です。