Adobe Czerwiec 2026 Patch Tuesday: Rzadki „jednorożec” wśród błędów – dwie luki CVSS 10 i ogromna porcja poprawek

W chwili publikacji poprawek Adobe nie posiadało informacji o trwających atakach wykorzystujących te luki w Campaign Classic. Eksperci od bezpieczeństwa od razu wezwali jednak do natychmiastowego instalowania łatek, spodziewając się, że wiele grup badawczych zacznie intensywnie pracować nad stworzeniem proof-of-concept, czyli praktycznej demonstracji ataku . Poprawka dotyczy wersji Campaign Classic ACC v7 build 9394 i wcześniejszych, zarówno na platformie Windows, jak i Linux .

Wdrożenia z priorytetem pierwszym: ColdFusion i Campaign Classic

Równolegle z poprawkami dla Campaign Classic, aktualizacja ColdFusion (APSB26-64) również otrzymała najwyższy priorytet wdrożenia – „1”. Jest on zarezerwowany dla podatności o największym ryzyku, które w przeszłości wielokrotnie stawały się celem atakujących . Adobe załatało w ColdFusion 2025 i 2023 szereg krytycznych i ważnych luk, które mogły skutkować wykonaniem dowolnego kodu, eskalacją uprawnień oraz obejściem funkcji bezpieczeństwa .

Tylko biuletyny dla Campaign Classic i ColdFusion otrzymały to oznaczenie. Wszystkie pozostałe produkty w czerwcowej aktualizacji, w tym Experience Manager oraz InDesign, sklasyfikowano z priorytetem 3, co oznacza, że Adobe uważa obecnie ich wykorzystanie w rzeczywistych atakach za mniej prawdopodobne .

Zakres poprawek dla wszystkich produktów

123 unikalne luki zostały opisane w 11 biuletynach bezpieczeństwa. Według danych firmy Qualys, 47 z nich miało status krytyczny, a ich wykorzystanie mogło prowadzić do wykonania dowolnego kodu, eskalacji uprawnień i obejścia zabezpieczeń . Pełna lista dotkniętych produktów prezentuje się następująco:

• Adobe Experience Manager i Experience Manager Forms: To tutaj koncentrowała się znaczna część podatności, w tym wiele błędów typu Cross-Site Scripting (XSS), które umożliwiały wykonanie dowolnego kodu .
• Adobe ColdFusion (APSb26-64): Krytyczne i ważne luki w wersjach 2025 i 2023, prowadzące do wykonania kodu i eskalacji uprawnień .
• Adobe Campaign Classic (APSB26-66): Dwa rzadkie błędy CVSS 10, pozwalające na wykonanie dowolnego kodu .
• Adobe Acrobat i Reader, InDesign, InCopy, Substance 3D Sampler, Content Credentials SDK, Dreamweaver i Format Plugins: Wszystkie te produkty otrzymały poprawki dla luk krytycznych i ważnych, związanych z wykonaniem kodu, wyciekiem pamięci i atakami typu "odmowa usługi" (DoS) .

W przypadku kilku produktów, w tym Content Credentials SDK i InDesign, Adobe wyraźnie potwierdziło, że nie jest świadome istnienia żadnych publicznie dostępnych exploitów dla załatanych błędów .

Pojedynek gigantów: Adobe kontra Microsoft

Adobe'owa aktualizacja 123 podatności, choć sama w sobie potężna, została dramatycznie przyćmiona przez rekordowy Patch Tuesday Microsoftu. Według raportów różnych firm bezpieczeństwa, Microsoft w tym samym dniu łatał od 198 do 211 luk .

Publikacja Microsoftu była historycznym ewenementem, miażdżącym poprzedni rekord 175 CVE, ustanowiony w październiku 2025 roku . Po doliczeniu poprawek dla przeglądarki Edge opartej na Chromium, łączna liczba luk załatanych przez Microsoft w czerwcu przekroczyła 570, co wzbudziło w branży dyskusje o nadchodzącej „Apolkalipsie Łatek” . W tym kontekście wydanie Adobe, choć obszerne, bardziej wpisywało się w jego standardowy trend dużych, kwartalnych aktualizacji .

Priorytety dla administratorów IT

Dla administratorów systemów priorytety są jasne. Aktualizacje dla Adobe Campaign Classic i ColdFusion ze względu na swój pierwszy priorytet wdrożenia i poważny charakter luk – szczególnie dwóch z CVSS 10 – powinny znaleźć się na szczycie listy. Choć na razie nie wykryto aktywnych ataków, potencjalne konsekwencje wykorzystania tych błędów oraz historia ColdFusion jako częstego celu cyberprzestępców sprawiają, że szybkie wdrożenie poprawek jest absolutnie niezbędne .