Adobe Patch Tuesday juni 2026: de 'unicorn' CVSS 10-bugs die de sector op scherp zetten

Ondanks de ernst verklaarde Adobe op het moment van publicatie geen actieve aanvallen te kennen die misbruik maakten van deze Campaign Classic-lekken. Beveiligingsonderzoekers drongen echter aan op onmiddellijk patchen, omdat ze zwaar onderzoek verwachtten naar het ontwikkelen van proof-of-concept exploits . De fix is van toepassing op Campaign Classic ACC v7 build 9394 en eerder, op zowel Windows als Linux .

Priority 1-uitrol: ColdFusion en Campaign Classic

Naast Campaign Classic kregen ook de ColdFusion-updates (APSB26-64) een prioriteitsclassificering 1, het hoogste niveau van Adobe, voorbehouden aan kwetsbaarheden met een hoog risico om doelwit te worden van aanvallen . Adobe verhielp kritieke en belangrijke lekken in ColdFusion 2025 en 2023 die kunnen resulteren in willekeurige code-uitvoering, escalatie van rechten en het omzeilen van beveiligingsmechanismen .

Alleen de bulletins voor Campaign Classic en ColdFusion kregen deze Priority 1-aanduiding. Alle andere producten in de juni-release, waaronder Experience Manager en InDesign, kregen Priority 3, wat aangeeft dat Adobe de kans voorlopig laag inschat dat deze in de praktijk worden uitgebuit .

Omvang van de fixes voor alle getroffen producten

De 123 unieke CVE's werden vrijgegeven in 11 beveiligingsadviezen. Volgens Qualys waren 47 van de verholpen lekken als kritiek aangemerkt, waarbij misbruik kon leiden tot willekeurige code-uitvoering, escalatie van rechten en het omzeilen van beveiligingsfuncties . De volledige lijst met betrokken producten omvatte:

• Adobe Experience Manager en Experience Manager Forms: Een aanzienlijk deel van de kwetsbaarheden was hier geconcentreerd, waaronder talrijke cross-site scripting (XSS)-lekken die tot willekeurige code-uitvoering kunnen leiden .
• Adobe ColdFusion (APSB26-64): Kritieke en belangrijke kwetsbaarheden in versies 2025 en 2023 die leiden tot code-uitvoering en privilege-escalatie .
• Adobe Campaign Classic (APSB26-66): De twee zeldzame CVSS 10-kwetsbaarheden die willekeurige code-uitvoering mogelijk maken .
• Adobe Acrobat en Reader, InDesign, InCopy, Substance 3D Sampler, Content Credentials SDK, Dreamweaver en Format Plugins: Al deze producten kregen patches voor kritieke en belangrijke lekken gerelateerd aan code-uitvoering, geheugenlekken en denial-of-service .

Voor verschillende producten, waaronder Content Credentials SDK en InDesign, bevestigde Adobe expliciet dat het geen exploits in het wild zag voor de aangepakte problemen .

Adobe vs. Microsoft: twee Patch Tuesdays vergeleken

Adobe's release van 123 kwetsbaarheden was weliswaar groot, maar viel volledig in het niet bij Microsofts recordbrekende Patch Tuesday van juni 2026. Diverse beveiligingsorganisaties rapporteerden dat Microsoft tussen de 198 en 211 kwetsbaarheden dichtte .

Microsofts release was een historische uitschieter en verbrak het vorige record van 175 CVE's uit oktober 2025 . Als de op Chromium gebaseerde browserpatches voor Edge werden meegerekend, steeg het totale aantal door Microsoft in juni aangepakte kwetsbaarheden tot boven de 570, wat in de sector leidde tot discussie over een 'Patch Apocalypse' . Adobe's release was, hoewel substantieel, meer in lijn met zijn trend van grote, per kwartaal uitgebrachte updates .

Wat IT-teams nu moeten prioriteren

Voor systeembeheerders is de implementatieprioriteit duidelijk. De updates voor Adobe Campaign Classic en ColdFusion moeten bovenaan de patchlijst staan vanwege hun Priority 1-classificering en de ernst van de kwetsbaarheden, met name de twee CVSS 10-bugs. Hoewel er nog geen exploits actief zijn waargenomen, maken de potentiële impact en het historische patroon dat ColdFusion een populair doelwit is voor aanvallers, snel patchen essentieel .