Adobes junipatch 2026: Två 'enhörningssällsynta' CVSS 10-buggar och 123 åtgärdade sårbarheter

Prioritet 1: ColdFusion och Campaign Classic

Tillsammans med Campaign Classic fick Adobes ColdFusion-uppdateringar (APSB26-64) en distributionsprioritet på 1, företagets högsta nivå, reserverad för sårbarheter som löper hög risk att bli måltavlor för angripare . Adobe åtgärdade kritiska och viktiga sårbarheter i ColdFusion 2025 och 2023 som kunde resultera i godtycklig kodexekvering, behörighetseskalering och förbikoppling av säkerhetsfunktioner .

Endast bulletinen för Campaign Classic och ColdFusion fick denna prioritet 1-märkning. Alla andra produkter i junireleasen, inklusive Experience Manager och InDesign, tilldelades prioritet 3, vilket indikerar att Adobe för närvarande anser att de är mindre benägna att exploateras i verkliga attacker .

Omfattningen av åtgärdade sårbarheter

De 123 unika CVE:erna släpptes över 11 säkerhetsbulletiner. Enligt Qualys var 47 av de åtgärdade sårbarheterna kritiska, där exploatering kunde leda till godtycklig kodexekvering, behörighetseskalering och förbikoppling av säkerhetsfunktioner . Listan över berörda produkter inkluderade:

• Adobe Experience Manager och Experience Manager Forms: En betydande del av sårbarheterna var koncentrerade här, inklusive många Cross-Site Scripting (XSS)-brister som kunde leda till godtycklig kodexekvering .
• Adobe ColdFusion (APSB26-64): Kritiska och viktiga sårbarheter i versionerna 2025 och 2023 som leder till kodexekvering och behörighetseskalering .
• Adobe Campaign Classic (APSB26-66): De två sällsynta CVSS 10-sårbarheterna som tillåter godtycklig kodexekvering .
• Adobe Acrobat och Reader, InDesign, InCopy, Substance 3D Sampler, Content Credentials SDK, Dreamweaver och Format Plugins: Alla fick patchar för kritiska och viktiga sårbarheter som involverade kodexekvering, minnesläckor och överbelastningsattacker .

För flera produkter, inklusive Content Credentials SDK och InDesign, bekräftade Adobe uttryckligen att man inte kände till några pågående exploateringar .

Adobe vs. Microsoft: En jämförelse mellan två patch-tisdagar

Adobes release på 123 sårbarheter, även om den var massiv, hamnade dramatiskt i skuggan av Microsofts rekordstora patch-tisdag i juni 2026. Flera säkerhetsföretag rapporterade att Microsoft åtgärdade mellan 198 och 211 sårbarheter .

Microsofts release var en historisk avvikelse som krossade det tidigare rekordet på 175 CVE:er från oktober 2025 . När man räknar in Chromium-baserade webbläsaruppdateringar för Edge, steg det totala antalet sårbarheter som Microsoft åtgärdade i juni till över 570, vilket väckte branschdiskussioner om en "Patch Apocalypse" . Adobes release var omfattande men låg mer i linje med dess trend av stora, kvartalsanpassade uppdateringar .

Vad IT-avdelningar bör prioritera nu

För systemadministratörer är prioriteringen tydlig. Uppdateringarna för Adobe Campaign Classic och ColdFusion bör stå högst upp på listan på grund av deras prioritet 1-status och de allvarliga sårbarheterna, särskilt de två CVSS 10-buggarna. Även om inga exploateringar har upptäckts, gör den potentiella påverkan och det historiska mönstret där ColdFusion är ett populärt mål för angripare att snabb patchning är avgörande .