Adobe juni 2026 Patch Tuesday: Den sjeldne 'enhjørningen' med CVSS 10-feil og korleis 123-rettingane måler seg mot Microsofts rekordslepp

Trass i alvorsgraden uttalte Adobe at dei ikkje var kjende med aktive angrep som utnytta desse Campaign Classic-feila då oppdateringa vart sleppt. Tryggingsforskarar oppmoda likevel til umiddelbar patching, og venta omfattande forsking for å lage proof-of-concept-utnyttingar . Rettinga gjeld for Campaign Classic ACC v7 build 9394 og tidlegare, på både Windows- og Linux-plattformer .

Prioritet 1-utrullingar: ColdFusion og Campaign Classic

Saman med Campaign Classic fekk Adobes ColdFusion-oppdatering (APSB26-64) ein utrullingsprioritet på 1, selskapets høgaste nivå, reservert for sårbarheiter som har høg risiko for å bli angripne . Adobe retta kritiske og viktige sårbarheiter i ColdFusion 2025 og 2023 som kunne resultere i vilkårleg kodekøyring, rettigheitsauke og omgåing av tryggingsfunksjonar .

Berre bulletin-ane for Campaign Classic og ColdFusion fekk denne Prioritet 1-merkelappen. Alle andre produkt i juni-sleppet, inkludert Experience Manager og InDesign, fekk Prioritet 3, noko som indikerer at Adobe for augneblinken reknar dei som mindre sannsynlege å bli utnytta i verkelege angrep .

Omfanget av rettingar på tvers av alle råka produkt

Dei 123 unike CVE-ane vart gjevne ut i 11 tryggingsrådgjevingar. Ifølgje Qualys vart 47 av dei retta sårbarheitene vurderte som kritiske, der utnytting potensielt kunne føre til vilkårleg kodekøyring, rettigheitsauke og omgåing av tryggingsfunksjonar . Den fullstendige lista over råka produkt inkluderte:

• Adobe Experience Manager og Experience Manager Forms: Ein betydeleg del av sårbarheitene var samla her, inkludert fleire cross-site scripting (XSS)-feil som kunne føre til vilkårleg kodekøyring .
• Adobe ColdFusion (APSB26-64): Kritiske og viktige sårbarheiter i versjonane 2025 og 2023 som kan føre til kodekøyring og rettigheitsauke .
• Adobe Campaign Classic (APSB26-66): Dei to sjeldne CVSS 10-sårbarheitene som tillét vilkårleg kodekøyring .
• Adobe Acrobat og Reader, InDesign, InCopy, Substance 3D Sampler, Content Credentials SDK, Dreamweaver og Format Plugins: Fekk alle rettingar for kritiske og viktige feil som omhandla kodekøyring, minnelekkasjar og tenestenekt .

For fleire produkt, inkludert Content Credentials SDK og InDesign, stadfesta Adobe eksplisitt at dei ikkje kjende til nokon utnyttingar i naturen for problema som vart adresserte .

Adobe vs. Microsoft: Forteljinga om to Patch Tuesday-ar

Adobes slepp på 123 sårbarheiter, sjølv om massivt, vart dramatiskt overskugga av Microsofts rekordsettande Patch Tuesday for juni 2026, som av ulike tryggingsfirma vart rapportert å ha retta mellom 198 og 211 sårbarheiter .

Microsofts slepp var ein historisk uteliggar og knuste den førre rekorden på 175 CVE-ar sett i oktober 2025 . Når ein reknar inn nettlesar-rettingar for Chromium-baserte Edge, steig det totale talet på sårbarheiter Microsoft adresserte i juni til over 570, noko som utløyste industridiskusjon om ein «Patch Apocalypse» . Adobes slepp var derimot meir i tråd med trenden deira med store, kvartalsjusterte oppdateringar, sjølv om det var betydeleg .

Kva IT-team må prioritere no

For systemadministratorar er utrullingsprioriteten tydeleg. Adobe Campaign Classic- og ColdFusion-oppdateringane bør vere øvst på patch-lista grunna Prioritet 1-ratinga si og den alvorlege naturen til sårbarheitene, særleg dei to CVSS 10-feila. Sjølv om ingen utnyttingar er oppdaga i naturen, gjer den potensielle konsekvensen og det historiske mønsteret der ColdFusion er eit populært mål for angriparar, rask patching essensielt .