Adobe Patch Tuesday Jun 2026: Dua Pepijat CVSS 10 'Unik' dalam Campaign Classic dan 123 Jumlah Kemaskini

Walaupun tahap keterukan ini tinggi, Adobe menyatakan bahawa ia tidak menyedari sebarang serangan aktif yang mengeksploitasi kelemahan Campaign Classic ini pada masa keluaran. Namun begitu, penyelidik keselamatan menggesa tindakan tampalan segera, dengan menjangkakan penyelidikan intensif untuk mencipta eksploitasi bukti konsep (proof-of-concept) . Pembetulan ini terpakai untuk Campaign Classic ACC v7 binaan 9394 dan versi terdahulu pada kedua-dua platform Windows dan Linux .

Pelaksanaan Keutamaan 1: ColdFusion dan Campaign Classic

Seiring dengan Campaign Classic, kemaskini Adobe ColdFusion (APSB26-64) telah diberikan penarafan keutamaan pelaksanaan 1, iaitu tahap tertinggi syarikat, yang dikhaskan untuk kerentanan yang berisiko tinggi menjadi sasaran serangan . Adobe menampalkan kerentanan kritikal dan penting dalam ColdFusion 2025 dan 2023 yang boleh mengakibatkan pelaksanaan kod sewenang-wenangnya, peningkatan keistimewaan (privilege escalation), dan pemintasan ciri keselamatan .

Hanya buletin Campaign Classic dan ColdFusion yang menerima penamaan Keutamaan 1 ini. Semua produk lain dalam keluaran Jun, termasuk Experience Manager dan InDesign, diberikan Keutamaan 3, menandakan Adobe pada masa ini menganggapnya kurang berkemungkinan dieksploitasi dalam serangan dunia sebenar .

Skop Pembetulan Merentasi Semua Produk Terjejas

123 CVE unik telah dikeluarkan menerusi 11 nasihat keselamatan. Menurut Qualys, 47 daripada kerentanan yang ditampal dinilai sebagai kritikal, di mana eksploitasi boleh membawa kepada pelaksanaan kod sewenang-wenangnya, peningkatan keistimewaan, dan pemintasan ciri keselamatan . Senarai penuh produk yang terjejas termasuk:

• Adobe Experience Manager dan Experience Manager Forms: Sebahagian besar kerentanan tertumpu di sini, termasuk pelbagai kelemahan skrip lintas laman (XSS) yang boleh membawa kepada pelaksanaan kod sewenang-wenangnya .
• Adobe ColdFusion (APSb26-64): Kerentanan kritikal dan penting dalam versi 2025 dan 2023 yang membawa kepada pelaksanaan kod dan peningkatan keistimewaan .
• Adobe Campaign Classic (APSB26-66): Dua kerentanan CVSS 10 yang jarang berlaku membenarkan pelaksanaan kod sewenang-wenangnya .
• Adobe Acrobat dan Reader, InDesign, InCopy, Substance 3D Sampler, Content Credentials SDK, Dreamweaver, dan Format Plugins: Kesemuanya menerima tampalan untuk kelemahan kritikal dan penting yang melibatkan pelaksanaan kod, kebocoran memori, dan penafian perkhidmatan .

Untuk beberapa produk, termasuk Content Credentials SDK dan InDesign, Adobe secara eksplisit mengesahkan ia tidak menyedari sebarang eksploitasi di alam liar untuk isu yang ditangani .

Adobe vs. Microsoft: Kisah Dua Patch Tuesday

Keluaran 123 kerentanan Adobe, meskipun besar, telah dibayangi secara mendadak oleh Patch Tuesday Microsoft Jun 2026 yang memecahkan rekod, yang dilaporkan oleh pelbagai firma keselamatan menampalkan antara 198 dan 211 kerentanan .

Keluaran Microsoft adalah satu peristiwa luar biasa bersejarah, menghancurkan rekod sebelumnya iaitu 175 CVE yang dicatatkan pada Oktober 2025 . Apabila mengambil kira tampalan pelayar berasaskan Chromium untuk Edge, jumlah kerentanan yang ditangani oleh Microsoft pada bulan Jun melonjak kepada lebih 570, mencetuskan perbincangan industri tentang 'Patch Apocalypse' atau 'Kiamat Tampalan' . Keluaran Adobe, walaupun besar, lebih selaras dengan trend kemaskini suku tahunannya yang besar .

Apa yang Pasukan IT Perlu Utamakan Sekarang

Bagi pentadbir sistem, keutamaan pelaksanaan adalah jelas. Kemaskini Adobe Campaign Classic dan ColdFusion sepatutnya berada di puncak senarai tampalan kerana penarafan Keutamaan 1 dan sifat kerentanan yang teruk, terutamanya dua pepijat CVSS 10 tersebut. Walaupun tiada eksploitasi dikesan di alam liar setakat ini, potensi impak dan corak sejarah ColdFusion yang menjadi sasaran popular penyerang menjadikan tindakan tampalan pantas sangat penting .